捐血一袋救人一命

2010年4月27日 星期二

Fortigate NAT 設定問題

今天會興起寫這篇文章,是因為中華電信企業客服派工安裝的Fortigate 設定有問題。

問題的起源是我發現近來廣告信特多,雖然大多都被 IMF 過濾掉,但是也造成系統負載增加不少。

所以我連入 Exchange去看看 SMTP Log (C:\WINDOWS\system32\LogFiles\SMTPSVC1),我發現居然會有一堆使用防火牆 LAN Port IP 來發信的記錄!

所以立刻連上防火牆一探究竟!

我發現中華電信的工程師,把 WAN→Internal 的 SMTP Policy 勾選了 NAT !

在 Fortigate 勾選 NAT,是會進行 Source IP 的 NAT,所以當外部寄信時,會 NAT 成 LAN Port IP !

導致 Mail Server 認定是區網 IP,不須驗證,允許 Relay!

要解決此問題也很簡單,只要把打勾去掉就可以!

因為在 Fortigte 的虛擬 IP 對應時,就會做 Destination NAT!

所以如果您有使用 Fortigate 防火牆,發現有大量廣告,

或是有一堆連線是從防火牆 LAN Port IP 連接,請注意一下這個設定喔!

5 意見:

Elton 提到...

我的Mail Server設定A IP,但實際仍由B IP送出,請問要如何設定回A呢?

Tom 提到...

在 Fortigate Firewall 上面沒有標示說明如何做;如果你有用過 Juniper/Netscreen Firewall 就會知道,NAT分成兩種作法,一個叫 VIP,另一個叫 MIP

其實很簡單,就是在 Fortigate 虛擬伺服器上,做 IP Mapping 時,不能設定 Forward Port

這樣就可以讓 Mail Server A IP 進,A IP出
但是你要記得在防火牆政策上,限制只允許特定的協定,不可以用 Any,要不然就等於整台 Mail Server 都曝露在 Internet 上...

William 提到...

我現在Virtual IP設定A IP對應Mail,且Forward Port沒打勾,但我寄信出去他一樣寫messages from B IP weren't sent…請問該如何設定讓他走A IP出去呢?謝謝

Tom 提到...

Hello William,
您可以詳細描述一下您的環境架構嗎?

Unknown 提到...

請教大師一下~
因為要讓ftp能外部下載或上傳,設定fortigate,但是已有讓ftp的機器固定ip和設定虛擬ip,但是就是不能連~而且也不能ping到那個外部ip,不知道哪兒出了問題~