none
Несколько внешних сетевых интерфейсов в ISA 2004 RRS feed

  • Вопрос

  • Добрый день. Имеется задача опубликовать сервер Exchange 2003 SP2 на сервере Сервер1, для приема и отправки внешней почты, а также опубликовать WEB-сервер (на нем лежит сайт), стоящий в локальной сети для доступа извне.
    В качестве файервола в сети используется ISA Server 2004 SP3, который установлен на Windows Server 2003 SP2 на сервере Сервер2. Имеются 2 провайдера- Провайдер 1 (предоставляет блок из нескольких публичных IP-адресов, например, 87.87.87.18-87.87.87.22) и Провайдер 2 (предоставляет 1 публичный IP-адрес-например 195.195.195.120).
    Сервер2 (ISA) имеет 3 сетевых карты - Сетевая карта1 смотрит в локальную сеть и имеет IP 192.168.10.20, Сетевая карта2-смотрит в интеренет и подключена к Провайдеру 1, Сетевая карта3 - смотрит в интерент и подключена к Провайдеру 2.


    На DNS-сервере провайдеров лежат MX-записи для почты, а также запись для сайта (лежит на WEB-серверае в локалке) например так:

    10 mail1.mydomain.spb.ru 195.195.195.120
    30 mail3.mydomain.spb.ru 87.87.87.20
    30 mail3.mydomain.ru 87.87.87.20
    40 mail4.mydomain.ru 195.195.195.120
    A www.mydomain.ru 87.87.87.19

    Допустим я делаю так:

    На Сервере2 (ISA) на Сетевой карте 2 средствами Windows Server 2003 я назначаю 2 IP-адреса - 87.87.87.19 (для сайта) и 87.87.87.20 (для почты), а на Сетевой карте 3 назначаю один IP-адрес -195.195.195.120 (также для почты).

    Соответственно далее, средствами ISA, я публикую нужные мне сервисы наружу, т е создаю правило публикации почтового сервера и WEB-сервера.

    Будет ли корректно работать такая схема?Больше всего интересует, как будет работать входящая и исходящая почта.

    30 июня 2008 г. 8:02

Все ответы

  • Исходящую почту данная схема не затрагивает, разве что надо на ISA-сервере не забывать открыть доступ во вне по 25 порту для Вашего сервера Exchange и позаботиться, чтобы последний умел по DNS разрешать имена Интернета (если у вас не используется smart host).
    Что касается входящей почты, то, да, нужно просто создать одно правило публикации SMTP-сервера на ISA-сервере, которое будет слушать ваши два внешние IP-адреса (
    195.195.195.120, 87.87.87.20).
    Для публикации сайта потребуется Web Listener (он будет создан в процессе создания правила web-публикации), который будет прослушивать Ваш внешний
    87.87.87.19.

    Так что всё будет в порядке.
  • Вот допустим почтовый SMTP-сервер mxs.mail.ru устанавливает связь по 25 порту с опуликованным на ISA 2004 моим почтовым сервером. И происходит это на интерфейсе с IP-адресом 87.87.87.19 (т к допустим именно на него указывает MX-запись с меньшим приоритетом). А метрика интерфейса 195.195.195.120 меньше, чем метрика интерфейса 87.87.87.19. Я так понимаю, что ответ серверу mxs.mail.ru от моего почтового сервера пойдет через интерфейс 195.195.195.120 (т к метрика у него меньше), а не через тот интерфейс (87.87.87.19), через который первоначально было установлено соединение. Так ли это и не приведет ли это к каким-либо проблемам?
  • Так как соединение TCP установлено с ISA сервером на интерфейсе 87.87.87.19, то ответ будет безусловно с этого же интерфейса.

    Вот если ISA будет инициировать новое соединение, то оно будет выполняться в соответствии с таблицей маршрутизации. Так соединения в Интернет будут всегда уходить через интерфейс, на который указывает дефолтный маршрут (пока вы не пропишите точный маршрут для какой либо сети через другой интерфейс - тогда на нее пакеты пойдут через этот интерфейс).
    1 июля 2008 г. 11:57
    Модератор