我们有 5 个可用的外部静态 IP 地址,由我们的 ISP 租用:.49 至 .53,其中
- .49 分配给 Juniper SSG20 防火墙,并针对 172.16.10.0/24 进行 NAT
- .50 被分配给一个用于 Web 服务器和域控制器的 Windows 框
- .51 被分配给另一个带有 Exchange 服务器的 Windows 机器(域:mycompany1.com)mx 记录指向 20x.xx.xxx.51
当前,有一项策略设置为所有发往 .51 的 SMTP 传入流量都转发到交换服务器盒的 NAT 地址(私有 IP:172.16.10.194)。
我们可以发送和接收内部和外部的电子邮件,但 gmail 说来自 mycomany1.com 的邮件不是从与 mx 查找相同的 IP 发送的,而是从 20x.xx.xxx.49 发送的:
Received-SPF: neutral (google.com: 20x.xx.xxx.49 is neither permitted nor denied by
best guess record for domain of [email protected]) client-ip=20x.xx.xxx.49;
Authentication-Results: mx.google.com; spf=neutral (google.com: 20x.xx.xxx.49 is
neither permitted nor denied by best guess record for domain of
[email protected]) [email protected]
并且全局 DNS 空间以及域控制器 .50 中 mail.mycompany1.com 的 mx 记录设置为 20x.xx.xxx.51
我尝试解决上述问题的方式是
- 将 mx 记录从 20x.xx.xxx.51 更新为 20x.xx.xxx.49
- 为发往 20x.xx.xxx.49 的 SMTP 流量创建新的 VIP,以转发至 172.16.10.194
在我更改传入电子邮件后,它停止工作,我相信这与 Juniper 设置有关,因为发送到 .49 的 SMTP 不会转发到 172.16.10.194
另外,我一直想知道是否必须为 Juniper 防火墙分配外部静态 IP 地址?
任何帮助都值得感激。
短暂性脑缺血发作
答案1
是的,您需要为防火墙的外部接口提供一个可路由的公共地址。您真正的问题是,您正在使用 VIP 执行入站目标 NAT,并依赖默认源 NAT 进行出站流量。因此,所有流量似乎都来自防火墙的地址。
您真正需要的是入站流量的目标 NAT 和出站流量的源 NAT,也称为静态 NAT 或 1 对 1 NAT。
您需要做的是创建一个 MIP。转到接口,单击外部接口上的编辑,转到 MIP 选项卡,然后创建一个将外部地址 (51) 映射到邮件服务器的条目。
关注此文章:http://kb.juniper.net/InfoCenter/index?page=content&id=KB4739
现在...如果您需要一个外部 IP 来访问两个不同的主机,这可能会变得更加棘手。因此,假设对于 .51,您要将 80/443 转发到交换 CAS 服务器,但将 SMTP 转发到传输服务器。在这种情况下,您必须为目标和源地址转换制定明确的规则。