Изначально.... Есть некая железка, Файрволл/роутинг, на которой поднят виртуальный SMTP, и в правилах которой прописано пробрасывать SMTP_ные пакеты ото всех на Exch в локалку... После неё сразу стоит еще Виндовый просто роутер, где с роутингом все в порядке, а уже потом, сам Exch и все остальное... Т.е. получается железка файрволл/роутер, напрямую в виндовый роутер, а с него вся локалка. На железке маршрут в локалку прописан - нет проблем... Все в этой схеме работает. Но второй виндовый роутер мыслился под ИСУ... Дополнительная защита... Намедни, стал ставить на него ИСУ2К4 - разумеется, RRAS перед этим отключил. Поставил - работает все, кроме входящей почты. /ФТП не проверял, думаю, тоже не работает/ . Что за ботва?
ИСУ ставил по дефолту, без мессенджес скреенерс и иис, с их смтп на борту. /впрочем, с ними тоже проверял - не работает/. Телнетился с железки /вместо неё/ и на внеш.интрф.Исы, и на внутр, и на собственно эксч - бесполезно. Путем экспериментов понял, что мешает нат исы - она по умолчанию внешнюю сеть, видимо, пытается пустить через нат на внутреннюю.
Все. Дальше сломался - может, кто подскажет, что надо сделать?
Tomorrow А дальше визардом ISA опубликуй на ее ( ISA) внешнем интерфейсе свой Exchange сервер и она будет пропускать к нему почту.
Поставить то ты ISA поставил, а правила прописывать и настраивать ее кто будет, по умолчанию там ведь все запрещено, вот и не пускает.
Плюс, внутри локалки у тебя понятно дело адреса из "свободной" подсети, а вот между железным рутером и ISA какие?
Когда у тебя вторым стоял просто роутер, он тупо роутил пакеты с внешнего интерфейса в локалку, Но ISA это не просто роутер а файервол и для того что бы она что то пропускала нужно настроить соответствующие политики и правила.
Правильно заданный вопрос - это уже половина ответа.
А дальше визардом ISA опубликуй на ее ( ISA) внешнем интерфейсе свой Exchange сервер и она будет пропускать к нему почту.
Поставить то ты ISA поставил, а правила прописывать и настраивать ее кто будет, по умолчанию там ведь все запрещено, вот и не пускает
[/quote]
- да вроде так и делал...
1_ое правило - /потом его хотел конкретно заточить/ - разрешен всем любой исходящий трафик - сразу у всех Инет появился и почта с Эксча на улицу пошла.
2_ое. /Попытка разрешить входящий SMTP/ - ото всех с улицы разрешен протокол SMTP server с внешнего интерфейса ИСЫ /пробовал и просто внешнюю сеть указывать/ на интерфейс Эксча... Не дается каменный цветок, не телнетится ...
Цитата
а вот между железным рутером и ISA какие?
[/quote]
то же, конечно, серые. Конретно - на входе первого роутера - честный белый айпи. На выходе из него -из 192.168.0.0/24. На входе второго роутера из этого же диапазона, а на выходе в локалку - 192.168.10.0/24. Маршрутизация работает без проблем.
Цитата
нужно настроить соответствующие политики и правила.
[/quote]
- а можно конкретно - какие и как - вообщем то сначала почитал эти статьи
Using ISA Server 2004 with Exchange Server 2003.htm
Using the ISA Server 2004 SMTP Filter and Message Screener.htm
Providing E-Mail Defense in Depth for Microsoft Exchange with the ISA 2004 Firewall SMTP Message Screener.htm
первые две с TechNet, третья с эксч.орг. И еще что-то.
Более того - в тестовом варианте на других машинах эта ситуация сразу заработала, помниться. А здесь - не понимаю, что упустил...
Необходимо настроить пакетные фильтры разрешающие обращение К ВНЕШНЕМУ АДАПТЕРУ isa по 25 порту
[/quote]
- а я разве не так делал?
Цитата
2_ое. /Попытка разрешить входящий SMTP/ - ото всех с улицы разрешен протокол SMTP server с внешнего интерфейса ИСЫ ... на интерфейс Эксча...
[/quote]
Хорошо, подробнее - внеш.интрфейс ИСЫ в моем случае 192.168.0.5; внутренний ИСЫ 192.168.10.3 Интрфейс Эксча - 192.168.10.1. Правило на рарешение входящей почты делалось с помощь мастера публикации почтового сервера - "Разрешить "Allow" входящий протокол "Inbound " " SMTP server" /автоматом порт 25 подставляется/ из внешней сети 192.168.0.0/24 с адреса /выбираем с помощью мастера/ 192.168.0.5 на сервер Эксч адрес 192.168.10.1 /а можно было и через ДНС выбрать легко имя Эксча/
И по другому там трудно сделать разрешение на ВХОДЯЩИЕ. Скажем так, Винда /ИСА/ это не позволяет...
Самое интересное, что аналогичная ситуация была перед этим проиграна полностью на тестовой подсетке, со своим Эксч+Контр.домена, выделенной ИСой /стенд.алоун/, и клиентским компом - все пошло сразу и на ура, в том числе и телнет на Эксчандж. Только что машинки были другие, да и софт был только тестируемый. А здесь у меня на роутере под ИСу терминал-сервер с лицензиями поднят, да два ключа 1С_ких хаспа/алладина торчат... 1С работает, нет проблем, но вот может это как-то на ИСУ влияет? /Понимаю, что ерунда это, но не знаю, на что и о чем думать еще./
- Чувствую, что других мыслей, кроме вышеизложенного не будет... Хорошо, а если я установлю простой СМТП сервер, входящий в винду2К3, попробую создать на нем виртуальный сервер эспешели фо ИСА, что-то вроде гетавея смтп, пропишу чтоб ОН входящий смтп ото всех принимал, шерстил, с помощью фильтра смтп и мессаджиг скриинера, а потом пробрасывал/форвардил этот трафик на мой Эксч внутри локалки - вроде как схема по-идее /см.статью Providing E-Mail Defense in Depth for Microsoft Exchange with the ISA 2004 Firewall SMTP Message Screener.htm/ должна работать... Ладно, до выходных время есть - получится, напишу, где собака порылась...
Правило на рарешение входящей почты делалось с помощь мастера публикации почтового сервера - "Разрешить "Allow" входящий протокол "Inbound " " SMTP server" /автоматом порт 25 подставляется/ из внешней сети 192.168.0.0/24 с адреса /выбираем с помощью мастера/ 192.168.0.5 на сервер Эксч адрес 192.168.10.1 /а можно было и через ДНС выбрать легко имя Эксча/
[/quote]
Публикации НЕ достаточно
ПАКЕТНЫМИ ФИЛЬТРАМИ разреши обращение к ВНЕШНЕМУ адаптеру ISA сервера для входящего и исходящего трафика по SMTP протоколу (25 порт)
ПАКЕТНЫМИ ФИЛЬТРАМИ разреши обращение к ВНЕШНЕМУ адаптеру ISA сервера ...... для входящего .... трафика по SMTP протоколу (25 порт)
[/quote]
- а вот это уже начинает быть го-о-о-раздо интересней! Дело в чем - свой Исходящий трафик - разрешил легко, с помощью "Add new rule" - /пардон, если что за не точность названия мастера - пишу по памяти - Исы под рукой нет/ - в этом мастере предлагается аллоу или дени или на весь исходящий, или на селектед/исходящий/ - но ни где ни слова про входящий... Может, я здесь что то не понимаю или забыл? Я про это тоже думал, но не нашел ни где в ИСЕ, как мне, кроме публикации смтп, разрешить входящий смтп_шный трафик. Видимо, я здесь что-то упустил - подскажите, пожалуйста - каким образом, кроме публикации можно
Цитата
ПАКЕТНЫМИ ФИЛЬТРАМИ разреши обращение к ВНЕШНЕМУ адаптеру ISA сервера ...... для входящего .... трафика по SMTP протоколу (25 порт)
[/quote]
Tomorrow У тебя внешний адаптер ISA имеет частный IP адрес. Соответственно перед иса выполняется NAT и на самой ISA можно срубить футкцию NAT и заставить ее работать как маршрутизатор + FW рекомендую это сделать. Кроме того на узле где выполняется NAT портмаппинг настроен?
Harry33 - интересно, а Вы хоть раз Ису 2004, а не 2000 в глаза видели? - Ваши все советы с пакетными фильтрами относятся к Исе2К - просвещайтесь - кусочек ридми с диска Исы2К4 - "Геттинг стартед" -
The following table lists common tasks you can perform using ISA Server 2004 and compares these tasks to how they were performed using ISA Server 2000.
If you want to In ISA Server 2000 In ISA Server 2004
Publish co-located servers. Create a static packet filter allowing access to the specific server located on the ISA Server computer. Create a server publishing rule.
Enable an application on the ISA Server computer to access the Internet. Create a static packet filter allowing access to the specific port on the ISA Server computer. Verify that the default network rule, which is created upon installation, accurately defines a relationship between the Local Host network and the External network. Then, create an access rule that allows access to the specific protocol.
Configure the local address table (LAT). Click Local Address Table on any service's properties. The Internal network replaces the local address table, and is configured as part of the setup process. You can subsequently reconfigure the Internal network.
Configure IP-based protocol support. IP-based protocols were supported in a limited fashion. Create a protocol definition, specifying any of the following protocols: TCP, UDP, ICMP, or IP-level. If you select IP-level, you can specify any low-level protocol.
Configure virtual private networking. Use the VPN wizards to configure client-to-router or router-to-router VPN. Configure and enable VPN properties and monitor VPN connections.
Configure outgoing Web request properties. On the array properties, click the Outgoing Web requests tab and configure listener properties. Each network has its own listener, the network adapter that is responsible for listening for requests bound for that network.
Configure incoming Web request properties. On the array properties, click the Incoming Web requests tab and configure listener properties. Web listeners are used as part of each Web publishing rule. When you configure a Web publishing rule, you specify which Web listener to use for that rule.
- - пардон, там это все в табличке - а здесь в кучу вывалилось - ну, найдете диск, почитаете, для общего развития....
- интересно, а Вы хоть раз Ису 2004, а не 2000 в глаза видели? - Ваши все советы с пакетными фильтрами относятся к Исе2К - просвещайтесь - кусочек ридми с диска Исы2К4 - "Геттинг стартед" -
[/quote]
Знаеш, и сейчас на нее смотрю.
Цитата
Enable an application on the ISA Server computer to access the Internet. Create a static packet filter allowing access to the specific port on the ISA Server computer. Verify that the default network rule, which is created upon installation, accurately defines a relationship between the Local Host network and the External network. Then, create an access rule that allows access to the specific protocol.
[/quote]
Просто кусок ридми привести - недостаточно, не плохо бы еще и понимать что тут написано.
Tomorrow » 18 окт 2004, 22:35 