none
Bloqueio trafego de um ip valido para outro ip valido mesmo isa server RRS feed

  • Pergunta

  • Vamos ver se eu consigo explicar o problema

     

    Imaginem a seguinte situação,

    um server isa server com 2 ip's validos,

    cada IP publicando um servidor de E-mail de dominios diferentes.

    O que acontece é que quando um destes dominio tenta mandar um e-mail para o outro servidor de e-mail publicado atraves do mesmo isa, o isa bloqueia e mostra como erro 0xC004000D FWX_E_POLICY_RULES_DENIED The policy rules do not allow the user request.

    Até agora a unica solução que encontri foi realizer o envio direto pelo IP interno mas com isso os e-mails são classificados como SPAM pelo SPF já que o e-mail vem de com o ip do servidor interno que não esta cadastrado no SPF.

    Alguem sabe como permitir este trafego???

     

     

    • Movido Hengzhe Li quinta-feira, 29 de março de 2012 04:39 (De:ISA Server 2004)
    segunda-feira, 16 de outubro de 2006 12:52

Todas as Respostas

  • Bom dia, Moisés.

    Você precisa criar uma Firewall Rule permitindo o tráfego entre os IP`s dos dois servidores...

    Qualquer outra dúvida, poste aqui.

    Abraços,
    segunda-feira, 16 de outubro de 2006 13:20
  • Moises,

    Isso é no minimo estranho. O que você pode fazer para testar é criar 2 objetos de computador, cada um com um dos seus ip´s reais. Ai você cria uma regra com os dois como source e destination, dizendo que quando for SMTP, aceite. Outra coisa: Verifique as regras e veja se a guia "To", se ele está com "request appear from original client" ou "appear from ISA Server". Selecione sempre a primeira opção, para você evitar problemas com SPAM e poder controlar melhor as conexões que chegam aos seus servidores.

    []´s

    Alberto

    segunda-feira, 16 de outubro de 2006 13:22
    Moderador
  • Ola Moises,

    Bom dia.

    Como esta definida sua LAT ?

    Existe apenas 1 LAT para os dois dominios ? OU Você separou em duas redes ?

    Pode ser problema de regra de rede, se você separou em duas redes tente criar um NAT entre elas.

    Post os resultados e/ou observações

    Abraços.

    segunda-feira, 16 de outubro de 2006 14:45
  •  

    eu sou muito enrolado e não consigo explicar direito o ambiente mais vou tentar......

     

     

    Servidor 01 Exchange

    IP INTERNO -  10.1.1.1

    MX 200.200.201.202

     

    Servidor 02 LINUX

    IP INTERNO -  10.1.1.2

    (DOMINIOS HOSPEDADOS)

    EX:

     XPTO.COM ONDE MX = 200.200.201.201

     

    Servidor ISA

    IP INTERNO – 10.1.1.3

    EXTERNO 200.200.201.201 E 200.200.201.202

     

     

    Problemas:

    1 – No isa server não é possível definir por qual ip o trafego de um determinado serviço ou ip interno vai sair, ou seja no spf tenho que colocar para todos os domínios = 200.200.201.201 e 202 pois quando o server exchange vai mandar msg não é possível determinar por qual ip ele esta mandando. (isso não tem nada haver com o problema apenas um comentário que não sei como resolver, pelo que me parece não tem solução)

    2 – O trafego smtp de 200.200.201.201 to 200.200.201.202 é barrado 0xC004000D FWX_E_POLICY_RULES_DENIED com qualquer tipo de regra criada.

     

     

     

    segunda-feira, 16 de outubro de 2006 18:36
  • Ola Moises.

    Bom dia.

    Cadastre os dominios para bypassar o ISA.

    Como você faz isso ? Segue link abaixo:

    http://forums.microsoft.com/technet-br/ShowPost.aspx?PostID=709604&SiteID=29

    Post o resultado.

    Abraços.

    segunda-feira, 16 de outubro de 2006 19:05
  • Moisés,

    Já tentou liberar o tráfego de external para external como foi falado em outro post, criando um computer set ou object para os dois IPs externos?

    Qual a possibilidade de adicionar os ips internos dos servidores no spf e fazer como você já havia feito anteriormente, liberado o envio interno, para assim além de não ter tráfego no ISA o e-mail não ser reconhecido como spam?

    Quanto ao IP externo de saída, está correto, não há como definir qual IP será utilizado como IP externo da sua aplicação.

    segunda-feira, 16 de outubro de 2006 19:56
  • é.....

    não funciona de externo to externo.

    Quais os riscos em colocar o ip interno no spf?

     

     

    terça-feira, 17 de outubro de 2006 14:48
  • Moises,

    Acho que você terá ganhos se rotear os e-mails internamente. Você não precisará "sair e entrar" para que o e-mail vá de um servidor ao outro. Quanto a implementação do SPF, em princípio, não vejo maiores riscos em fazer isso para dois domínios seus, sobre os quais você detém o domínio das configurações. Sugiro, inclusive, que você procure fazer dessa forma. Quanto ao ip, infelizmente o ISA não faz PAT. Você não tem como dizer com que ip um determinado servidor ou estação irá sair.

    []'s

    Alberto

    terça-feira, 17 de outubro de 2006 19:14
    Moderador