Juniper SSG20 電子郵件伺服器的 IP 設置
我們的 ISP 租用了 5 個可用的外部靜態 IP 地址:0.49 到 0.53,其中
- .49 分配給瞻博網路 SSG20 防火牆並為 172.16.10.0/24 進行 NAT
- .50 分配給 web 伺服器和域控制器的 windows 框
- .51 分配給另一個帶有交換伺服器的 windows 框(域:mycompany1.com)mx 記錄指向 20x.xx.xxx.51
目前,所有 SMTP 傳入流量設置為 .51 轉發到交換伺服器框的 NATed 地址(私有 IP:172.16.10.194)。
我們可以發送和接收內部和外部的電子郵件,但 gmail 說來自 mycomany1.com 的郵件不是從與 mx 查找相同的 IP 發送的,而是來自 20x.xx.xxx.49:
Received-SPF: neutral (google.com: 20x.xx.xxx.49 is neither permitted nor denied by best guess record for domain of codemonkie@mycomapny1.com) client-ip=20x.xx.xxx.49; Authentication-Results: mx.google.com; spf=neutral (google.com: 20x.xx.xxx.49 is neither permitted nor denied by best guess record for domain of codemonkie@mycomapny1.com) smtp.mail=codemonkie@mycomapny1.com
全域 dns 空間和域控制器 .50 中 mail.mycompany1.com 的 mx 記錄設置為 20x.xx.xxx.51
我解決上述問題的嘗試是
- 將 mx 記錄從 20x.xx.xxx.51 更新為 20x.xx.xxx.49
- 為發往 20x.xx.xxx.49 的 SMTP 流量創建一個新的 VIP 以轉發到 172.16.10.194
在我的更改傳入電子郵件停止工作後,我認為這與瞻博網路設置有關 SMTP 發送到 .49 未轉發到 172.16.10.194
另外,我一直想知道是否必須為瞻博網路防火牆分配外部靜態 IP 地址?
任何幫助表示讚賞。
TIA
是的,您的防火牆外部介面需要一個可路由的公共地址。您真正的問題是您正在使用 VIP 進行入站目標 NAT,並依靠預設源 NAT 來處理出站流量。因此,所有流量似乎都來自防火牆的地址。
您真正追求的是入站流量的目標 NAT 和出站流量的源 NAT,也稱為靜態 NAT 或 1 對 1 NAT。
您需要做的是創建一個 MIP。轉到介面,點擊外部介面上的編輯,轉到 MIP 選項卡,然後創建一個將該外部地址 (51) 映射到郵件伺服器的條目。
關注這篇文章: http://kb.juniper.net/InfoCenter/index?page=content&id= KB4739
現在……如果說您需要一個外部 IP 來訪問兩個不同的主機,這可能會變得更加棘手。因此,假設對於 .51,您要將 80/443 轉發到交換 CAS 伺服器,但將 SMTP 轉發到傳輸伺服器。在這種情況下,您必須為目標地址和源地址轉換制定明確的規則。