Установка Microsoft Exchange Server 2010 на раз, два, три. Руководство для начинающих. Часть 10. Переадресация трафика (Port mapping) к сетевым портам Microsoft Exchange Server 2010.

Также должны быть две NS записи, указывающие на сервера имен (DNS сервера) обслуживающие данный домен, это будут сервера регистратора или хостинг провайдера.

Первой записью, которую необходимо добавить будет A запись или запись имени. Она должна указывать на IP-адрес вашего сервера, если вы решите обслуживать все запросы к домену у себя или на IP адрес хостинг провайдера, если решите разместить свой сайт на хостинге. При размещении сайта у хостера домен обычно делегируется на его DNS сервера (прописываются соответствующие NS записи) и A запись будет сделана автоматически при парковке домена.

Чаще всего встречается этот вариант, но при необходимости вы всегда сможете создать A запись сами. Данная запись имеет вид:

example.com. IN A 22.11.33.44

В нашем примере 22.11.33.44 адрес нашего хостинг провайдера, у которого расположен сайт. Обратите внимание на точку в конце имени, это указывает что имя абсолютное, при отсутствии точки имя считается относительным и к нему добавляется доменное имя из SOA. Проверить запись можно командой nslookup.

Для работы почтового сервера нужно создать MX запись, которая должна указывать на наш почтовый сервер. Для этого создадим запись:

example.com. IN MX 10 mail.example.com.

Также можно написать просто:

example.com. IN MX 10 mail

К такому имени (без точки на конце) example.com будет добавлено автоматически. Цифра 10 определяет приоритет сервера, чем она меньше, тем выше приоритет. Кстати, DNS зона уже может содержать MX запись вида:

example.com. IN MX 0 example.com.

Обычно эта запись автоматически создается хостинг провайдером при размещении сайта, ее нужно удалить.

Теперь создадим A запись для mail.example.com:

mail.example.com. IN A 11.22.33.44

Теперь вся почта для домена example.com будет направляться хосту mail имеющему адрес 11.22.33.44, т.е. вашему почтовому серверу, в то-же время сайт example.com продолжит работать на сервере провайдера по адресу 22.11.33.44. Может возникнуть вопрос, а почему нельзя сразу указать в MX записи IP адрес почтового сервера? В принципе можно, некоторые так и делают, но это не соответствует спецификациям DNS.

Также можно сделать алиасы для почтового сервера типа pop.example.ru и smtp.example.ru. Зачем это надо? Это позволит клиенту не зависеть от особенностей вашей инфраструктуры, один раз прописав настройки. Допустим, что ваша компания разрослась и выделила для обслуживания внешних клиентов отдельный почтовый сервер mail1, все что вам понадобиться, это изменить две DNS записи, клиенты и не заметят того, что работают с новым сервером. Для создания алиасов используются записи типа CNAME:

pop IN CNAME mail.example.com.

smtp IN CNAME mail.example.com.

На этом настройку прямой DNS зоны можно считать законченной, остается самое интересное — обратная зона. Обратная зона управляется провайдером, выдавшим вам IP адрес и самостоятельно управлять ей вы не можете (если только вы не владелец блока IP адресов). Но добавить как минимум одну запись в обратную зону необходимо. Как мы писали в прошлой статье, многие почтовые сервера проверяют PTR записи (записи обратной зоны) для отправляющего сервера и при их отсутствии или несовпадении с доменом отправителя такое письмо будет отклонено. Поэтому попросите провайдера добавить для вас запись вида:

44.33.22.11.in-addr.arpa. IN PTR mail.example.com.

Немного странный вид, не правда ли? Разберем структуру PTR записи более подробно. Для обратного преобразования имен используется специальный домен верхнего уровня in-addr.arpa. Это сделано для того, чтобы использовать для прямого и обратного преобразования имен одни и те же программные механизмы. Дело в том, что мнемонические имена пишутся слева направо, а IP адреса справа налево. Так mail.example.com. означает что хост mail находится в домене example, который находится в домене верхнего уровня com., 11.22.33.44 означает что хост 44 находится в подсети 33, которая входит в подсеть 22, принадлежащую сети 11. Для сохранения единого порядка PTR записи содержат IP адрес «задом наперед» дополненный доменом верхнего уровня in-addr.arpa. Проверить MX и PTR записи также можно командой nslookup используя дополнительный параметр -type=MX или -type=PTR.

Ну и конечно не стоит забывать, что любый изменения в DNS зонах происходят не мгновенно, а в течении нескольких часов или даже суток, необходимых для распространения изменений в мировой системе DNS. Это означает, что несмотря на то, что почтовый сервер у вас начнет работать через 2 часа после внесения изменений, у вашего партнера почта может не отправляться к вам в течение более длительного времени.

Переадресация трафика (Port mapping) к сетевым портам Microsoft Exchange Server 2010.

 

Любой компьютер, находящийся в одной сети с другими устройствами/компьютерами, обменивается с ними данными благодаря сетевым протоколам. Сетевой протокол – набор правил, позволяющий осуществлять соединение и обмен данными между двумя или более компьютерами. Передаваемые данные могут быть самыми разными, соответственно, некоторые из них передаются по одним протоколам, некоторые — по другим. Существует множество различных протоколов, например, TCP, UDP, ICMP, GRE и т.д. Однако, именно протокол TCP/IP — самый распространенный сетевой протокол — представляет собой фундамент сети Internet, с помощью которого компьютеры отправляют и принимают информацию из любой точки земного шара, независимо от географического положения. С его помощью мы открываем страницы сайта, обмениваемся почтой, общаемся в чатах. Обратиться к компьютеру с TCP/IP в другой стране так же просто, как к компьютеру, который находится в соседней комнате, процедура доступа в обоих случаях идентична, хотя для соединения с машиной в другой стране может потребоваться на несколько миллисекунд больше. Не стоит забывать и про UDP-протокол, по которому идут DNS-запросы и ответы. Он тоже базируется на IP и тоже использует порты, но в отличие от TCP не устанавливает соединений и не требует подтверждения получения каждого пакета, поэтому пакеты могут теряться или приходить в неправильном порядке. Зато этот протокол быстрее и использует меньше ресурсов. На UDP обычно базируют прикладные протоколы, для которых скорость доставки данных важнее надежности, так, например, протокол UDP используется для передачи потокового видео, общения голосом или онлайновых игр.

Оба этих сетевых протокола (TCP и UDP), в отличие от других протоколов, имеют такой критерий, как порт (отправителя или получателя). Сетевой порт представляет собой условное число от 1 до 65535, указывающее, какому приложению предназначается пакет. Согласно IP, в каждом пакете присутствуют IP адрес узла-источника и IP адрес узла-назначения. В TCP пакетах дополнительно указываются порт источника и порт назначения, которые необходимы компьютерам для того, чтобы направлять трафик от одного приложения к другому.

 

Узел назначения, получив пакет, смотрит на порт назначения и передает пакет соответствующему у себя приложению. Если говорить простым языком — порт предназначен для того, чтобы компьютер, получивший некоторый запрос, знал, какому приложению этот запрос передать на дальнейшую обработку. Именно использование портов позволяет независимо использовать TCP протокол сразу многим приложениям на одном и том же компьютере.

Клиентом называют приложение, которое пользуется каким-то сервисом, предоставляемым другим приложением — Сервером, обычно на удаленном компьютере. Практически всегда клиент начинает исходящие соединения, а сервер ожидает входящих соединений (от клиентов), хотя бывают и исключения.

Например, клиент, как правило, посылает незашифрованный запрос в сервер по целевому адресу на TCP-порт 80, или запрос DNS на DNS-сервер по целевому адресу на UDP-порт 53. Клиент и сервер имеют IP-адрес источника и назначения, а также сетевой порт источника и назначения, которые могут различаться.

Сервер при запуске сообщает Операционной Системе, что хотел бы «занять» определенный порт (или несколько портов). После этого все пакеты, приходящие на компьютер к этому порту, ОС будет передавать этому серверу. Говорят, что сервер «слушает» этот порт.

Клиент, начиная соединение, запрашивает у своей ОС какой-нибудь незанятый порт во временное пользование, и указывает его в посланных пакетах как порт источника. Затем на этот порт он получит ответные пакеты от сервера. Таким образом,

сервер:

  • ·         слушает на определённом порту, заранее известном клиенту;
  • ·         занимает этот порт всё время, пока не завершит работу;
  • ·         об IP адресе и номере порта клиента узнаёт из приглашения, посланного клиентом;

клиент:

  • ·         заранее знает IP адрес и порт сервера;
  • ·         выбирает у себя произвольный порт, который освобождает после окончания соединения;
  • ·         посылает приглашение к соединению;

 

Давайте теперь попытаемся в доступной форме объяснить, что же такое сетевые (компьютерные) порты, как они используются, для чего нужны и чем может быть опасно оставлять неиспользуемые порты открытыми.

Представим себе страну, пусть это будет Испания. Она омывается морями и океанами и, конечно же, имеет много морских портов.

Каждый порт специально оборудован для приема различных грузов. Суда, приходящие из различных стран мира заходят в порты на разгрузку или погрузку. Обычно каждый из этих кораблей имеет пункт (порт) назначения. Например, судно из Южной Африки постоянно приходит на разгрузку в порт Cartagena и никогда ни в один из других портов. Несмотря на то, что в Испании существуют специально оборудованные порты, практически каждое судно может бросить якорь в любой бухте, например у города Bilbao, взять на борт груз и спокойно уплыть. Для того чтобы этого не произошло нужно иметь хорошую пограничную команду, которая будет постоянно контролировать береговую линию и не даст привести в страну или вывезти из нее груз.

Теперь попробуем провести параллель применительно к сетям. Компьютер после выхода в интернет становится похож на страну из нашего примера. Он получает IP адрес и становится известным в сети под этим идентификатором. Любой компьютер в сети, так же как и в примере, имеет множество портов. Многие программы, которые работают с сетью, рассчитаны на подключение к определенным портам: интернет браузеры, например Internet Explorer, используют в своей работе порт 80, а почтовые программы, например Outlook Express, используют 2 порта (обычно, но не всегда), для отправки почты — порт 25 и для приема — порт 110.

Допустим, на нашем сервере работает http-сервер, обслуживающий какие-то сайты. Другому компьютеру, имеющему маршрут до нашего компьютера, для отображения этих сайтов необходимо послать запрос нашему серверу: «покажи-ка мне сайт». Сервер (его сетевая подсистема) его принимает, передает его программе (в данном случае http-серверу), та его обрабатывает, генерирует ответ, передает обратно сетевой подсистеме, а та уже отсылает его исходному компьютеру. Сетевой подсистеме абсолютно все равно, что за запрос, кому она передала. Все происходит абстрактно. А как же она поняла, кому передавать запрос? Ведь на нашем сервере еще работают несколько служб, обрабатывающих запросы из сети: удаленное управление сервером, ftp-сервер, базы данных. И ко всем им подключаются по сети. Неужели сетевая подсистема отсылает информацию всем подряд, а службы, уже в свою очередь, сами разбираются, нужна она им или нет?! Ни в коем случае. Мы же четко указали ему «покажи-ка мне сайт». Именно «сайт», а не что-либо другое. А как мы это сделали? Вот тут возвращаемся обратно к теории.

На самом деле я немного приврал. Компьютер не может послать запрос именно на «сайт». Для идентификации службы, которая должна обработать запрос существует числовое поле, называемое «портом». Таким образом, при запуске сетевой службы на сервере необходимо указать этот самый порт, который она будет слушать. Причем если он уже занят, то запустить её не удастся.

Таким образом, если компьютер в сети не защищен, то каждая программа, установленная на нем, сможет открыть любой необходимый ей порт. Точно также любая программа извне может подключиться к любому открытому порту компьютера.

Например, злопыхатели и недоброжелатели могут одним из многих способов (прислать по почте, передать на флешке и т.д.) подбросить программу – трояна (пример — известная дрянь I-Worm.MyDoom), которая откроет на компьютере порт (пример — 3127), через который спокойно вынесет всю важную пользовательскую информацию. Чтобы этого не произошло необходимо пользоваться программами, которые предназначены для закрытия неиспользуемых портов или портов открытых нежелательными программами.

Firewall в английском языке означает стена, которая разделяет смежные здания, предохраняя от распространения пожара (fire — огонь/пожар, wall — стена), также часто можно встретить название фаервол, файрвол (тоже самое что и firewall, в русской транслитерации) или Brandmauer это в переводе с немецкого значит тоже самое (brand — гореть, mauer — стена), наиболее часто употребляется как брандмауэр. Очень часто firewall называют просто стена или стенка. Проведем простейшую параллель: представьте себе, что ваш компьютер — это ваша квартира.

 

http://ru.wikibooks.org/wiki/TCP/IP

http://orbiter.ucoz.ru/publ/27-1-0-132

http://help.fregat.com/general/ports

http://help.fregat.com/general/firewall

http://linuxforum.ru/viewtopic.php?id=129

http://www.xnets.ru/plugins/content/content.php?content.207.5

http://www.russianproxy.ru/node/325

http://www.alexhost.ru/hosting_article_44.php

http://sysadminblog.ru/windows/2010/05/21/probros-portov-port-forwarding-v-windows-2003-server-1.html

http://www.alexhost.ru/hosting_article_53.php

http://sysadminblog.ru/cisco/2010/05/25/nastroyka-probrosa-portov-port-forwarding-v-cisco-2.html

http://sysadminblog.ru/blog/cisco/12.html

http://sysadminblog.ru/microsoft/2011/03/14/porty-ispolzuemye-microsoft-exchange-server-2010.html

http://www.alexhost.ru/hosting_article_46.php

http://technet.microsoft.com/ru-ru/library/bb331973.aspx

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B

Пока нет комментариев.

Вы должны зайти чтобы оставить комментарийt.

Нет трэкбэков.
 

You need to log in to vote

The blog owner requires users to be logged in to be able to vote for this post.

Alternatively, if you do not have an account yet you can create one here.

Powered by Vote It Up