今天會興起寫這篇文章,是因為中華電信企業客服派工安裝的Fortigate 設定有問題。
問題的起源是我發現近來廣告信特多,雖然大多都被 IMF 過濾掉,但是也造成系統負載增加不少。
所以我連入 Exchange去看看 SMTP Log (C:\WINDOWS\system32\LogFiles\SMTPSVC1),我發現居然會有一堆使用防火牆 LAN Port IP 來發信的記錄!
所以立刻連上防火牆一探究竟!
我發現中華電信的工程師,把 WAN→Internal 的 SMTP Policy 勾選了 NAT !
在 Fortigate 勾選 NAT,是會進行 Source IP 的 NAT,所以當外部寄信時,會 NAT 成 LAN Port IP !
導致 Mail Server 認定是區網 IP,不須驗證,允許 Relay!
要解決此問題也很簡單,只要把打勾去掉就可以!
因為在 Fortigte 的虛擬 IP 對應時,就會做 Destination NAT!
所以如果您有使用 Fortigate 防火牆,發現有大量廣告,
或是有一堆連線是從防火牆 LAN Port IP 連接,請注意一下這個設定喔!
發表文章
5 意見:
我的Mail Server設定A IP,但實際仍由B IP送出,請問要如何設定回A呢?
在 Fortigate Firewall 上面沒有標示說明如何做;如果你有用過 Juniper/Netscreen Firewall 就會知道,NAT分成兩種作法,一個叫 VIP,另一個叫 MIP
其實很簡單,就是在 Fortigate 虛擬伺服器上,做 IP Mapping 時,不能設定 Forward Port
這樣就可以讓 Mail Server A IP 進,A IP出
但是你要記得在防火牆政策上,限制只允許特定的協定,不可以用 Any,要不然就等於整台 Mail Server 都曝露在 Internet 上...
我現在Virtual IP設定A IP對應Mail,且Forward Port沒打勾,但我寄信出去他一樣寫messages from B IP weren't sent…請問該如何設定讓他走A IP出去呢?謝謝
Hello William,
您可以詳細描述一下您的環境架構嗎?
請教大師一下~
因為要讓ftp能外部下載或上傳,設定fortigate,但是已有讓ftp的機器固定ip和設定虛擬ip,但是就是不能連~而且也不能ping到那個外部ip,不知道哪兒出了問題~
張貼留言