Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 00:34



Ответить на тему  [ Сообщений: 3 ] 
DMZ-[МСЭ-PAT]-[ASR1001-PAT] в разные адреса по пр 
Автор Сообщение

Зарегистрирован: 29 июл 2020, 13:20
Сообщения: 13
Добрый день!
Зону ДМЗ отделяет МСЭ. В этой зоне несколько серверов. Один из них (Сервер1) должен выходить в интернет с одного и того же адреса. Все узлы зоны транслируются в один и тот же адрес outside, соответствующий выходному интерфейсу. Далее к нему подключается ASBR ASR1001. Все входящие в него подключения он также должен транслировать, но уже в публичный адрес из пула выделенных. Соответственно, кто первый пришел, тот и занимает самый низший из свободных, а обычно это один и тот же (из пула 44-100 первый это 44-й). Но бывает, порты кончаются, и адрес новые клиенты получают уже 45-й.
И среди них может оказаться и Сервер1. Как вы уже догадались, это почтовый сервер. И если он отправляет на параиноидальные серверы адресата, где включена проверка PTR, почта не доходит.

На МСЭ у нас влияния нет, это ответственность злых и довольно безграмотных в сетевых технологиях безопасников.
И различать входящие из зоны ДМЗ после МСЭ ASBR может только по портам источников.

Если ли какие возможности у ASR-а (а там IOS XE) разделить пулы для трансляции в разные публичные адреса в зависимости от порта источника. Т.е. он получает всегда 44-й адрес, а все остальные, кто в итоге рвется в интернет - в остальные адреса?
Цель - чтобы никто не мешал почтовому серверу всегда выходить наружу под адресом 44 ?


25 дек 2021, 17:02
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
Chai писал(а):
разделить пулы для трансляции в разные публичные адреса в зависимости от порта источника.

route-map ?


27 дек 2021, 08:44
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Chai писал(а):
Зону ДМЗ отделяет МСЭ. В этой зоне несколько серверов. Один из них (Сервер1) должен выходить в интернет с одного и того же адреса. Все узлы зоны транслируются в один и тот же адрес outside, соответствующий выходному интерфейсу.

Зачем? Внутренних адресов жалко?

Chai писал(а):
На МСЭ у нас влияния нет, это ответственность злых и довольно безграмотных в сетевых технологиях безопасников.
И различать входящие из зоны ДМЗ после МСЭ ASBR может только по портам источников.

Бред какой-то.

Chai писал(а):
Далее к нему подключается ASBR ASR1001. Все входящие в него подключения он также должен транслировать, но уже в публичный адрес из пула выделенных. ... (из пула 44-100).

Зачем?

Под почтовик обычно выделяют отдельный IP-адрес, и прописывают на него MX, PTR, SPF, etc.
Выбейте из этих "безопасников" отдельный static IP в той же подсети под почтовик.
И пропишите у себя в ASR1001 на него static NAT (IP-to-IP) на отдельный внешний IP-шник (не из пула).

_________________
Knowledge is Power


28 дек 2021, 01:10
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 3 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 54


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB