Virtual IPs ииии файрвол.



  • Товарищи Всем доброго дня али вечера!!.
    Все таки проясните плиз следующий вопрос.
    Я планирую использовать на WAN порту Virtual IPs типа Алиас, создать правило нат 1:1 для того что - бы внешний IP полученный трафик кидал напрямую в нужный мне ХОСТ (локальный IP) - Вопрос , могу ли я в таком случае использовать файрвол (Указывать правила и прочее) pfSense-а??
    Если быть точнее, то задача использовать один из внешних IP выданных провайдером для почтового хоста, но при этом использовать файрвол хоста на котором стоит почта и файрвол самого pfSense.
    Может кто подскажет как грамотнее будет это организовать?



  • @dimadur
    Доброй ночи
    можете
    делаете проброс порта , как это делать обсуждалось чуть раньше сегодня.
    в этом случае PF  сам создаст соответствующие правила на wan интрефейсе для пропуска почтового трафика на почтовый сервер
    и дальше создаете остальные правила файрвола , которые Вам нужны для работы



  • @konstanti
    Благодарю за пояснения, в принципе я так и предполагал, но хотелось уточнить.



  • Добрый.

    @dimadur
    В чем необходимость NAT 1:1? Вы неск-ко контор админите и хотите белый IP полностью отдать др. конторе?



  • @werter
    Да собственно говоря необходимости как таковой нет. Я не совсем понимаю работу пфсеннс.
    Белый IP отдавать не надо, требуется что бы машина в локальной сети получала трафик с этого белого IP.
    Возможно это можно организовать и другим путем. но я знаю только - нат 1:1..



  • @DIMADUR

    требуется что бы машина в локальной сети получала трафик с этого белого IP.

    Выходила во вне только с этого ip? Или полностью была доступна извне по всем портам и протоколам только по этому внешнему ip ? Это разные вещи.
    Уточните ТЗ по этой машине - что на ней крутится?



  • @werter
    ДА, я понимаю что это разные вещи.
    На машине будет крутиться почтовый сервер точнее сборка ZIMBRA.
    Мне кажется, что машина должна ходить наружу под этим белым IP, дабы соответствовать PTR записи, и не попадала в спам листы.



  • @dimadur

    Верно
    Но для "чистоты" почтового сервера сейчас еще модно в настройках домена указывать

    1. dkim
    2. spf
    3. dmark
      и
      обязательно , чтобы была создана обратная запись

    Вот тогда всякие проверки будут выдавать
    0_1549457955372_572bed00-827d-4c03-8144-bb3d74e084e1-image.png

    Но для этого совсем необязательно выделять отдельный ip только под почтовый сервис .



  • @konstanti said in Virtual IPs ииии файрвол.:

    ы была создана обратная за

    Спасибо, теперь все на своих местах. :-)



  • @dimadur
    Для почты не нужен nat 1:1
    Вам достаточно пробросить на ВАН порты (25\587 TCP - минимум) и
    создать правило fw на ЛАН для этой машины, где в gw будет явно указан WAN2-шлюз. Поставить это правило выше общих.

    машина должна ходить наружу под этим белым IP, дабы соответствовать PTR записи, и не попадала в спам листы.

    Это настраивается на DNS у вашего хостера.

    Ps. И прикрутите к Зимбре rspamd, к-ый заменит вам встроенный антиспам:

    https://wiki.zimbra.com/wiki/Rspamd
    https://forums.zimbra.org/viewtopic.php?t=62443

    Ps2. Альтернатива зимбре (достойная) :

    https://itc-life.ru/pochtovyj-server-mailcow-cherez-docker-za-30-minut/
    https://github.com/hardware/mailserver
    https://www.iredmail.org/

    Ps3. Для мониторинга, статистики, блокировки (и не только) можно использовать https://forum.proxmox.com/threads/proxmox-mail-gateway-5-0-released.40745/



  • @werter
    Очень благодарен, ценная информация :-)