Virtual IPs ииии файрвол.
-
Товарищи Всем доброго дня али вечера!!.
Все таки проясните плиз следующий вопрос.
Я планирую использовать на WAN порту Virtual IPs типа Алиас, создать правило нат 1:1 для того что - бы внешний IP полученный трафик кидал напрямую в нужный мне ХОСТ (локальный IP) - Вопрос , могу ли я в таком случае использовать файрвол (Указывать правила и прочее) pfSense-а??
Если быть точнее, то задача использовать один из внешних IP выданных провайдером для почтового хоста, но при этом использовать файрвол хоста на котором стоит почта и файрвол самого pfSense.
Может кто подскажет как грамотнее будет это организовать? -
@dimadur
Доброй ночи
можете
делаете проброс порта , как это делать обсуждалось чуть раньше сегодня.
в этом случае PF сам создаст соответствующие правила на wan интрефейсе для пропуска почтового трафика на почтовый сервер
и дальше создаете остальные правила файрвола , которые Вам нужны для работы -
@konstanti
Благодарю за пояснения, в принципе я так и предполагал, но хотелось уточнить. -
Добрый.
@dimadur
В чем необходимость NAT 1:1? Вы неск-ко контор админите и хотите белый IP полностью отдать др. конторе? -
@werter
Да собственно говоря необходимости как таковой нет. Я не совсем понимаю работу пфсеннс.
Белый IP отдавать не надо, требуется что бы машина в локальной сети получала трафик с этого белого IP.
Возможно это можно организовать и другим путем. но я знаю только - нат 1:1.. -
требуется что бы машина в локальной сети получала трафик с этого белого IP.
Выходила во вне только с этого ip? Или полностью была доступна извне по всем портам и протоколам только по этому внешнему ip ? Это разные вещи.
Уточните ТЗ по этой машине - что на ней крутится? -
@werter
ДА, я понимаю что это разные вещи.
На машине будет крутиться почтовый сервер точнее сборка ZIMBRA.
Мне кажется, что машина должна ходить наружу под этим белым IP, дабы соответствовать PTR записи, и не попадала в спам листы. -
Верно
Но для "чистоты" почтового сервера сейчас еще модно в настройках домена указывать- dkim
- spf
- dmark
и
обязательно , чтобы была создана обратная запись
Вот тогда всякие проверки будут выдавать
Но для этого совсем необязательно выделять отдельный ip только под почтовый сервис .
-
@konstanti said in Virtual IPs ииии файрвол.:
ы была создана обратная за
Спасибо, теперь все на своих местах. :-)
-
@dimadur
Для почты не нужен nat 1:1
Вам достаточно пробросить на ВАН порты (25\587 TCP - минимум) и
создать правило fw на ЛАН для этой машины, где в gw будет явно указан WAN2-шлюз. Поставить это правило выше общих.машина должна ходить наружу под этим белым IP, дабы соответствовать PTR записи, и не попадала в спам листы.
Это настраивается на DNS у вашего хостера.
Ps. И прикрутите к Зимбре rspamd, к-ый заменит вам встроенный антиспам:
https://wiki.zimbra.com/wiki/Rspamd
https://forums.zimbra.org/viewtopic.php?t=62443Ps2. Альтернатива зимбре (достойная) :
https://itc-life.ru/pochtovyj-server-mailcow-cherez-docker-za-30-minut/
https://github.com/hardware/mailserver
https://www.iredmail.org/Ps3. Для мониторинга, статистики, блокировки (и не только) можно использовать https://forum.proxmox.com/threads/proxmox-mail-gateway-5-0-released.40745/
-
@werter
Очень благодарен, ценная информация :-) -
@DIMADUR
Еще по Zimbra: https://habr.com/ru/post/439440/ , https://habr.com/ru/company/zimbra/blog/438456/
