Очередная мозгодробилка, которую не могу решить.
Имею сеть, в которой кроме прочего существует почтовый сервер на виртуальной машине с Линуксом. Естественно, машинка имеет внутренний айпи типа 10.10.2.17, а также внешний адрес типа 182.145.2.205.
Почта работает, все летает, только вот с точки зрения безопасности не все так хорошо, так как почтовый сервер все обращения к нему видит с адреса 182.145.2.205, а не с адреса источника. Из-за этого невозможно правильно настроить файрвол на сервере для блокирования подозрительных атак. Так как заблокируя адрес 182.145.2.205 я заблокирую весь входящий трафик, что логично ;)
Как этот виртуальный почтовый сервер выставить "наружу", так чтобы он по-прежнему был виден под адресом 182.145.2.205, но при этом весь входящий трафик идентифицировал правильно, не подставляя свой айпи во все входящие пакеты как src-address?
Подозреваю, что это где-то на главном фаерволе Sophos XG надо пошаманить, у которого есть порт LAN, WAN и DMZ и что это может быть связано с NAT, но дальше этих умозаключений у меня ничего не складывается. Запутался уже.
Drno, я извиняюсь, а зачем мне vlan? я же не хочу разделить сеть на несколько подсетей, а только сбриджевать два интерфейса. Это как я себе это вижу. Поправьте, если заблуждаюсь. Тут бы пригодились дополнительные разъяснения.
Конфигурилось до меня, поэтому не всю логику до конца понимаю. Есть PTR запись у провайдера "внешний айпи->доменное имя почтового сервера", внешний айпи прописан на одном из портов фаервола и все запросы на этот адрес NATом пробрасываются на внутренний ip.
Вячеслав Гранченко, с точки зрения логики - всё корректно. Получается, что почтовик смотрит жопой в интернет.Только по всей видимости, если входящие соединения идут от имени файрвола, что-то где-то не так прописано и нат не совсем натит.
ZERGeich, я это понимаю, только найти источник проблемы пока не могу. Пол дня сегодня ковырялся в фаерволе Sophos. Выключил все правила, которые касаются почтового сервера и которые мне показались бессмысленными или дублирующими. На данный момент имею такую конфигурацию на фаерволе:
Port1 - LAN - 10.10.2.2 Port2 - WAN - 182.145.2.201 Port7 - Postfix - 182.145.2.205
Сервер, на котором стоит виртуальная машина с почтовым сервером, подключена каблем к свитчу, который в свою очередь подключен к Port1 на Sophos. Виртуальная машина имеет адрес 10.10.2.17.
В настройках фаервола имею такое правило: разрешить пакеты с любого адреса/с любой зоны/с любого порта на любой адрес через Port7 и хост 182.145.2.205.
В настройках NAT такое правило: с любого адреса/зоны через Port7 и хост 182.145.2.205 -> SNAT 182.145.2.205, DNAT 10.10.2.17, PAT (порты 25, 80, 143, 443, 465, 587, 993) -> Outbound interface Port7, Translated source 10.10.2.17
только выплыла другая проблема. через какое-то время работа измененного правила фаервола пропадает доступ к roundcube (web сервер) на этом серваке, а еще позже почта перестает ходить. надо будет разделить правила SNAT и DNAT, а также создать два правила в фаерволе на входящий трафик с WAN и LAN. а старые правила отключить.
1. Создал правило в фаерволе: пускать с WAN в LAN на адрес 182.145.2.205 и порты 80/993/465/443
2. Создал два правила в NAT:
a). любой источник через 182.145.2.205 и порты 80/993/465/443 SNAT-original, DNAT-10.10.2.17, inbound interface WAN;
б). любой источник через 182.145.2.205 и порты 80/993/465/443 SNAT-MASQ, DNAT-10.10.2.17, inbound interface ANY (чтобы был доступ с внешней сети);
При этом есть доступ по imap, smtp, www к серверу с LAN, WAN и VPN. Можно отправить письмо самому себе и благополучно получить. Вот только если отправляешь письмо с другого сервиса/домена (например, gmail), то письма не доходят. Они как бы застревают на серваке.
Какая-то лабуда в NAT. 100% вопрос одного-двух кликов, только надо знать где кликнуть и что выбрать. ПАМАГИТЕ!!!
Простой
Простой
