Virtual IPs ииии файрвол.

DIMADUR

Товарищи Всем доброго дня али вечера!!.
Все таки проясните плиз следующий вопрос.
Я планирую использовать на WAN порту Virtual IPs типа Алиас, создать правило нат 1:1 для того что - бы внешний IP полученный трафик кидал напрямую в нужный мне ХОСТ (локальный IP) - Вопрос , могу ли я в таком случае использовать файрвол (Указывать правила и прочее) pfSense-а??
Если быть точнее, то задача использовать один из внешних IP выданных провайдером для почтового хоста, но при этом использовать файрвол хоста на котором стоит почта и файрвол самого pfSense.
Может кто подскажет как грамотнее будет это организовать?

Konstanti

@dimadur
Доброй ночи
можете
делаете проброс порта , как это делать обсуждалось чуть раньше сегодня.
в этом случае PF сам создаст соответствующие правила на wan интрефейсе для пропуска почтового трафика на почтовый сервер
и дальше создаете остальные правила файрвола , которые Вам нужны для работы

DIMADUR

@konstanti
Благодарю за пояснения, в принципе я так и предполагал, но хотелось уточнить.

werter

Добрый.

@dimadur
В чем необходимость NAT 1:1? Вы неск-ко контор админите и хотите белый IP полностью отдать др. конторе?

DIMADUR

@werter
Да собственно говоря необходимости как таковой нет. Я не совсем понимаю работу пфсеннс.
Белый IP отдавать не надо, требуется что бы машина в локальной сети получала трафик с этого белого IP.
Возможно это можно организовать и другим путем. но я знаю только - нат 1:1..

werter

@DIMADUR

требуется что бы машина в локальной сети получала трафик с этого белого IP.

Выходила во вне только с этого ip? Или полностью была доступна извне по всем портам и протоколам только по этому внешнему ip ? Это разные вещи.
Уточните ТЗ по этой машине - что на ней крутится?

DIMADUR

@werter
ДА, я понимаю что это разные вещи.
На машине будет крутиться почтовый сервер точнее сборка ZIMBRA.
Мне кажется, что машина должна ходить наружу под этим белым IP, дабы соответствовать PTR записи, и не попадала в спам листы.

Konstanti

@dimadur

Верно
Но для "чистоты" почтового сервера сейчас еще модно в настройках домена указывать

dkim
spf
dmark
и
обязательно , чтобы была создана обратная запись

Вот тогда всякие проверки будут выдавать
0_1549457955372_572bed00-827d-4c03-8144-bb3d74e084e1-image.png

Но для этого совсем необязательно выделять отдельный ip только под почтовый сервис .

DIMADUR

@konstanti said in Virtual IPs ииии файрвол.:

ы была создана обратная за

Спасибо, теперь все на своих местах. :-)

werter

@dimadur
Для почты не нужен nat 1:1
Вам достаточно пробросить на ВАН порты (25\587 TCP - минимум) и
создать правило fw на ЛАН для этой машины, где в gw будет явно указан WAN2-шлюз. Поставить это правило выше общих.

машина должна ходить наружу под этим белым IP, дабы соответствовать PTR записи, и не попадала в спам листы.

Это настраивается на DNS у вашего хостера.

Ps. И прикрутите к Зимбре rspamd, к-ый заменит вам встроенный антиспам:

https://wiki.zimbra.com/wiki/Rspamd
https://forums.zimbra.org/viewtopic.php?t=62443

Ps2. Альтернатива зимбре (достойная) :

https://itc-life.ru/pochtovyj-server-mailcow-cherez-docker-za-30-minut/
https://github.com/hardware/mailserver
https://www.iredmail.org/

Ps3. Для мониторинга, статистики, блокировки (и не только) можно использовать https://forum.proxmox.com/threads/proxmox-mail-gateway-5-0-released.40745/

DIMADUR

@werter
Очень благодарен, ценная информация :-)

werter

@DIMADUR
Еще по Zimbra: https://habr.com/ru/post/439440/ , https://habr.com/ru/company/zimbra/blog/438456/