none
ISA 2006. Публикация 25 порта RRS feed

  • Вопрос

  • Добый день, коллеги.

    Для начала опишу ситуацию.

    Есть ISA 2006 со всеми обновлениями. Конфигурация трехногая. В DMZ зоне находятся  публичные IP адреса, выданные провайдером (212.0.0.0/24). Exchange ET сервер находится на одном из этих адресов.

    Если делать разрешающее правило с наружи в DMZ по 25 порту, то почта проходит. Если же публиковать на внешнем IP адресе ISA сервера, то коннект не устанавливается. Отлуп идет по таймауту, в мониторе ISA сервера как будто проскакивает мимо правила публикации и блочится  дефолтным правилом.

    Это явный баг, почитал технет. к примеру тут , но внятного ответа, решающего проблему получить не удалось.

    Публикация же на 80 или 443 и прочих портах проходит на ура.

    Netstat не показывает, что слушает 25 порт (а должен ли ?!).

    Фильтрации с протокола SMTP Server снимал.

     

    Куда еще можно посмотреть ?


    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-) www.InAdmin.ru
    12 августа 2010 г. 21:26

Ответы

Все ответы

  • а зачем публиковать?
    13 августа 2010 г. 6:45
    Отвечающий
  • вообще полезно почитать доки, там достаточно четко сказано про паблишинг серверов если отношение route

    http://technet.microsoft.com/en-us/library/cc302646.aspx

    и это не баг :)

    • Помечено в качестве ответа Bakanov Denis 13 августа 2010 г. 10:22
    13 августа 2010 г. 6:58
    Отвечающий
  • Надо что бы Mx совпадал с тем IP из-под которого выпрыгивает почтовый сервер в интернет. Спамооборона
    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-) www.InAdmin.ru
    13 августа 2010 г. 8:03
  • Т.е. А то, что  публикация 80 порта работает -  эт нормально ,а 25 нет ?
    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-) www.InAdmin.ru
    13 августа 2010 г. 8:04
  • ну я же давал ссылку там все написано. 80 порт это публикация http, http всегда работает через web proxy или web reverse proxy, потому что на http висит специально обученный фильтр, и ему плевать nat у тебя там или роуте

    с другими протоколами все иначе, если у тебя ипшник белый, отношение между сетками роуте и в правиле стоит чтоб коннект приходил от клиента (а для smtp это очень важно иначе антиспам можно выкидывать) то получится косяк - входящий конеект приходит на ису, на исе публикация и она его кидает на почтовик, но почтовик то отвечает оригиналу и при отношении роуте ответ будет не от исы, куда клиент изначально коннектился, а от почтовика. если поставишь nat или в правиле укажешь чтоб коннект шел от адреса исы то все будет ок.

    про твой mx я не совсем понял, если у тебя route то в инет твой почтовик по идее от своего адреса идет а не от исы.

    13 августа 2010 г. 8:15
    Отвечающий
  • В том-то и дело, что при отношении Route , я в инет выпрыгиваю под другим IP, который внешний на ISA сервере.
    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-) www.InAdmin.ru
    13 августа 2010 г. 8:24
  • по smtp? ты уверен?
    13 августа 2010 г. 8:26
    Отвечающий
  • Не правильно выразился. По Http я выпрыгиваю под IP ISA сервера. По SMTP, как и положено, под "правильным" IP.

    Как бы HTTP правильно запихнуть ?

    Смысл в том, что на спамооборе фаервол смотрит на MX запись и пускает только с этого ип. А скачивает обновление баз по HTTP.


    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-) www.InAdmin.ru
    13 августа 2010 г. 8:38
  • то есть тебе надо чтобы по http и по mx был один адрес?

    ну тогда создай протокол Transparent HTTP (tuj обычно так называют), tcp 80 БЕЗ web proxy фильтра (именно он принудительно проксирует), и разреши своему почтарю (или всей дмз) ходить именно по этому протоколу
    если я правильно помню то возможно вторым правилом придется запретить еще обычный http

    13 августа 2010 г. 9:03
    Отвечающий
  • Да вот, не все так прост  оказалось. Лицензия завязана на один IP адрес, который не сменить. Прийдется публиквать на внешнем IP ISA сервера. На него уже привязка установлена у Яндекса.

     

     


    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-) www.InAdmin.ru
    14 августа 2010 г. 23:22