none
Какой роутер купить ? RRS feed

  • Общие обсуждения

  • После всех заморочек с вирусом WannaCry хотим купить роутер, закрыть на нём все порты, кроме тех, которые нужны для нормальной работы Exchange Server и защитить почтовик нашей сети хоть как-то. А то у нас почтовик одной из двух сетевух прямо в инет смотрит - рано или поздно достанут его, как я понимаю. В связи с этим вопрос: есть ли какие-то особые требования к роутеру ?

    =STAS=

    19 июня 2017 г. 14:26

Все ответы

  • Правильный ответ никакой, нужно понимать что происходит при работе. Иначе даже открыв только 25 и 443 порт и настроив файрволл все рано можно положить сеть и exchange.

    scientia potentia est
    My blog

    19 июня 2017 г. 15:50
  • В связи с этим вопрос: есть ли какие-то особые требования к роутеру ?

    А какой у Вас уже установлен?

    далее, имхо:
    Для роутеров требование одно: пробрасывать порты 25, 443. Всё остальное (всякие фильтры контента) - по желанию, и по требованию. Можно поставить что-нибудь из Open Source, например postfix + spamassasin + clamav как edge server.

    Тут вопрос в другом: вирусы типа WannaCry сами по себе на сервер не залезут и не выполнятся. Т.е. почтовый сервер должен заниматься почтой и только. Т.е. никаких файловых серверов или терминальных.

    С другой стороны, правильно настроенный встроенный файервол на винде может и хватит. У меня шесть лет работает сервер только с встроенным фаерволом - всё ок. тьфу-тьфу ))

    + рассмотрите SRP
    19 июня 2017 г. 15:52
    Модератор
  • Я же написал, "одной сетевухой прямо в инет смотрит". Насчёт "вирусы типа WannaCry сами по себе на сервер не залезут и не выполнятся" - я так тоже думал, до сегодняшнего времени ... и даже антивирус на сервер не ставил ... АН НЕТ ! Сам залезает по SMB1.0 и пошло-поехало ! Почитайте тут: https://nnmclub.to/forum/viewtopic.php?t=1133909&start=60

    Мало того, я сам так же попал, уже после вирусной атаки, снёс WinSrv2008R2, загрузился с установочной флэшки (официально смонтированной), поставил WinSrv2008R2 заново, с форматированием и разметкой диска и поставил обновляться, а сам на ночь спать пошёл. Прихожу утром - дай, думаю. проверю, мало ли что. Скачал DrWeb CureIt и на тебе: сразу же определил вирус ! и именно WannaCryptor ... 2.0, если не ошибаюсь ... так что .. имейте ввиду.

    А насчёт Cisco и проч. фортинетов ... у меня бюджет 10-15 тыс. максимум, так что не влезаю. Я понимаю, что это технет и люди тут все с сетями от 1000 компов, но у нас, к сожалению (а может, и к счастью) всё попроще будет ... :)

    С портами в общем всё ясно - те порты, что нужны Exchange - пробросить на IP сервера, остальное всё закрыть, благо на этом белом IP только этот сервер и сидит - пользователи через другой IP выходят в инет, но вот что с ответами серверам делать ? Ведь другие сервера при попадании почты от нас будут спрашивать, а соответствует ли IP отправителя его доменному имени, а роутер скажет: нет, это я сижу на этом IP ... такой-то-такой-то. Как быть ?


    =STAS=

    • Изменено -STAS- 19 июня 2017 г. 16:56
    19 июня 2017 г. 16:48
  • То что одной сетевухой сервер - это понятно. Но клиентские компы же за роутером или нет? Если да, вот сервер туда и убирайте

    19 июня 2017 г. 16:55
    Модератор
  • Сетевухи - 2, одна смотрит в локалку, другая - в инет. Юзеры из локалки выходят в интернет через роутер с одним внешним IP, а у почтовика - другой внешний IP. И сейчас этот второй внешний IP - на одной их сетевух почтовика.

    =STAS=

    19 июня 2017 г. 17:53
  • Ведь другие сервера при попадании почты от нас будут спрашивать, а соответствует ли IP отправителя его доменному имени, а роутер скажет: нет, это я сижу на этом IP ... такой-то-такой-то. Как быть ?

    не вижу проблемы. роутер ничего горить не будет - он будет пробрасывать 25\443 порты на сервер и сервер будет отвечать.
    вот если на месте роутера будеть какой-нить TMG или WAP - то тут другое дело.
    19 июня 2017 г. 18:56
    Модератор
  • Попробуйте тут посмотреть реализацию

    Немного на русском


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.


    • Изменено PuCtoy 20 июня 2017 г. 7:17
    20 июня 2017 г. 7:15
  • Сетевухи - 2, одна смотрит в локалку, другая - в инет. Юзеры из локалки выходят в интернет через роутер с одним внешним IP, а у почтовика - другой внешний IP. И сейчас этот второй внешний IP - на одной их сетевух почтовика.

    =STAS=

    Ну если "пользовательский" роутер с двумя WAN портами, или можно их переназначить, то втыкайте провод с IP Exchange, разруливайте правила и все будет нормально. Если нет, то надо смотреть на трафик - скорость то какая на том интерфейсе от провадера? В теории, если нет принципиальной разницы в том, какое железо будет на этом стоять, то купите Zyxel Giga3(у меня на ультрах собран VPN между площадками для бекапа, ни одна железка за ВМЕНЯЕМЫЕ деньги не дает больше 300 мегабит Ipsec VPN), его производительности для ваших задач будет с запасом на долго. Если надо с установкой в стойку, то поищите какой нито Dlink DFL. В общем с Вашими задачами справится любой роутер. 
    20 июня 2017 г. 8:16
  • Тогда ещё такой вопрос: закрыв все порты, какие конкретно порты открыть для корректной работы Exchange Server 2013 ? 25 и 443 - я уже понял, для опроса с других серверов, DNS, ещё какие-то ?

    =STAS=

    20 июня 2017 г. 9:49
  • SMTP - 25
    HTTPS - 443
    если используются:
    POP3 - 110
    POP3S - 995
    IMAP - 143
    IMAPS - 993
    20 июня 2017 г. 10:11
    Модератор
  • А порт, чтобы другие почтовики знали, что mail.domain.ru это и есть mail.domain.ru и это именно он находится на этом IP ?

    =STAS=

    • Изменено -STAS- 20 июня 2017 г. 13:24
    20 июня 2017 г. 13:23
  • А порт, чтобы другие почтовики знали, что mail.domain.ru это и есть mail.domain.ru и это именно он находится на этом IP ?

    =STAS=

    для этого придумали PTR и другие записи в DNS.
    20 июня 2017 г. 13:35
    Модератор
  • А порт, чтобы другие почтовики знали, что mail.domain.ru это и есть mail.domain.ru и это именно он находится на этом IP ?

    =STAS=

    Для этого DNS придумали. не заморачивайтесь сильно. За все "что где и как" оно отвечает


    20 июня 2017 г. 20:14
  • У меня тоже Ультра 2 с Циской держит IPsec уже пол-года - один раз только Ультра заступорилась, а так норм. Но на Ультре как-то слишком ... ммм .. непрозрачно всё, для слишком простых юзеров. Мало чего видно. Типа закрыть файрволл на всё и сделать в NAT проброс 25 и 443 портов. Подозрительно просто, я бы сказал :) Я вот как-то Циску настраивал - вот там да, половина из командной строки делается. Хотя по поводу наглядности - примерно как и Exchange :)

    =STAS=


    • Изменено -STAS- 21 июня 2017 г. 8:49
    21 июня 2017 г. 8:46
  • Ну так она и стоит простите .... Понятное дело, что если бабла куры не клюют, то.. Но мне больше нравится получать 100 и обслуживать Ультры, чем бегать просить циски за 100 мульенов и получать 40 тыр зарплату )))

    Так раз у Вас есть то и то.. Почему спрашиваете что купить??

    21 июня 2017 г. 8:49
  • Я получаю в 2 раза меньше и ничего ... А Циска у нас 800 серии - брали давно уже, в районе 16 т.р. по тем деньгам, не так и дорого. Зато она хорошо прокачивает мозги :)

    =STAS=

    21 июня 2017 г. 11:18