Juniper SSG20 电子邮件服务器的 IP 设置

Juniper SSG20 电子邮件服务器的 IP 设置

我们有 5 个可用的外部静态 IP 地址,由我们的 ISP 租用:.49 至 .53,其中

  • .49 分配给 Juniper SSG20 防火墙,并针对 172.16.10.0/24 进行 NAT
  • .50 被分配给一个用于 Web 服务器和域控制器的 Windows 框
  • .51 被分配给另一个带有 Exchange 服务器的 Windows 机器(域:mycompany1.com)mx 记录指向 20x.xx.xxx.51

当前,有一项策略设置为所有发往 .51 的 SMTP 传入流量都转发到交换服务器盒的 NAT 地址(私有 IP:172.16.10.194)。

我们可以发送和接收内部和外部的电子邮件,但 gmail 说来自 mycomany1.com 的邮件不是从与 mx 查找相同的 IP 发送的,而是从 20x.xx.xxx.49 发送的:

    Received-SPF: neutral (google.com: 20x.xx.xxx.49 is neither permitted nor denied by
    best guess record for domain of [email protected]) client-ip=20x.xx.xxx.49;

    Authentication-Results: mx.google.com; spf=neutral (google.com: 20x.xx.xxx.49 is 
    neither permitted nor denied by best guess record for domain of    
    [email protected]) [email protected]

并且全局 DNS 空间以及域控制器 .50 中 mail.mycompany1.com 的 mx 记录设置为 20x.xx.xxx.51

我尝试解决上述问题的方式是

  1. 将 mx 记录从 20x.xx.xxx.51 更新为 20x.xx.xxx.49
  2. 为发往 20x.xx.xxx.49 的 SMTP 流量创建新的 VIP,以转发至 172.16.10.194

在我更改传入电子邮件后,它停止工作,我相信这与 Juniper 设置有关,因为发送到 .49 的 SMTP 不会转发到 172.16.10.194

另外,我一直想知道是否必须为 Juniper 防火墙分配外部静态 IP 地址?

任何帮助都值得感激。

短暂性脑缺血发作

答案1

是的,您需要为防火墙的外部接口提供一个可路由的公共地址。您真正的问题是,您正在使用 VIP 执行入站目标 NAT,并依赖默认源 NAT 进行出站流量。因此,所有流量似乎都来自防火墙的地址。

您真正需要的是入站流量的目标 NAT 和出站流量的源 NAT,也称为静态 NAT 或 1 对 1 NAT。

您需要做的是创建一个 MIP。转到接口,单击外部接口上的编辑,转到 MIP 选项卡,然后创建一个将外部地址 (51) 映射到邮件服务器的条目。

关注此文章:http://kb.juniper.net/InfoCenter/index?page=content&id=KB4739

现在...如果您需要一个外部 IP 来访问两个不同的主机,这可能会变得更加棘手。因此,假设对于 .51,您要将 80/443 转发到交换 CAS 服务器,但将 SMTP 转发到传输服务器。在这种情况下,您必须为目标和源地址转换制定明确的规则。

相关内容