最近朋友被我洗腦,把公司的網路線也換成中華電信的資安艦隊服務,
但是他沒想到更換線路,會更換掉 IP !!! (中華電信申請表上有說明呀…)
所以他公司一整天都收不到信…(這也不能怪他,畢竟他的專長是程式設計)
資安艦隊服務真的是不錯啦,只是換 IP 這個問題很討厭,對 MIS 人員來講,問題真的很麻煩。
所以寫這篇文章,就是建議大家該怎麼解決更換 IP ,造成郵件服務中斷的問題!
- 於施工前一週,向網域管理組織,例如:TWNIC,申請更換 DNS 授權 IP,將 DNS授權伺服器 IP 指向一個這段期間 IP 不會有任何異動、連線穩定、可以穩定提供 DNS 服務、安全無慮,最重要的是,可以配合縮短Cache Expire時間的地方。當然,相關的 DNS Record,需請對方都先設好。
- 等施工完成後,取得新 IP,立即將代管 DNS 記錄的 IP 更新。因為 Cache 時間很短,所以新 IP 很快就可以生效!
- 等你這邊 DNS 、防火牆等相關設定都完成之後,再去網域管理組織,例如:TWNIC,申請更換 DNS 授權 IP,改回自己管理。
PS.目前好像沒有聽說有廠商有提供這樣的短期服務,如果你很放心自己家裡的線路、設備、電力、安全等等因素,為了解決服務中斷問題,可以考慮自家架設一台 DNS!
另外,在這邊提醒一下,資安艦隊服務更換 IP,在防火牆上要特別注意 IP Mapping 的問題。
以 Fortigate Firewall 來講,設定Virtual Server,可以設定 IP Mapping 或是 Port Mapping(有指定 Source/Destination Port就會使用Port Mapping)。
PS.以Netscreen Firewall來講,就是MIP與VIP的設定。
如果使用 IP Mapping,Mail In/Out都會使用Mapping的 Public IP,如果使用 Port Mapping,Mail In是走Mapping的 Public IP,但是Mail Out會是透過 Firewall本身的 WAN IP做NAT,這很可能就會導致跟您的 DNS 設定不吻合!
所以如果要用 Port Mapping,請注意你的 DNS PTR、SPF 的IP Record,要設定 Firewall WAN IP。
以下連結是我在 iThome回覆網友類似狀況的說明
發表文章
0 意見:
張貼留言