Установка Microsoft Exchange Server 2010 на раз, два, три. Руководство для начинающих. Часть 14. Настройка DMZ зоны для Microsoft Exchange Server 2010.

Поскольку брандмауэр посылает пакеты от имени всех внутренних компьютеров, он изменяет исходный сетевой порт, и данная информация хранится в таблице отслеживания соединений брандмауэра. Это необходимо, чтобы исходящие сокеты оставались уникальными.

Важно понимать принципы работы NAT, так как NAT изменяет IP-адрес и сетевые порты пакетов трафика. Такое понимание помогает в диагностике неисправностей. Например, становится понятным, почему один трафик может иметь разные IP-адреса и сетевые порты на внешнем и внутреннем интерфейсах брандмауэра.

Сетевые порты могут дать важнейшую информацию о приложениях, которые обращаются к компьютерам по сети. Зная приложения, которые используют сеть, и соответствующие сетевые порты, можно составить точные правила для брандмауэра, и настроить хост-компьютеры таким образом, чтобы они пропускали только полезный трафик.

Поверхность атаки по сети — общепринятый термин для описания уязвимости сети. Многие сетевые нападения проходят через уязвимые приложения, и можно существенно уменьшить площадь атаки, сократив число активных приложений в сети. Другими словами, следует отключить неиспользуемые службы, установить брандмауэр на выделенной системе для проверки законности трафика и составить исчерпывающий список управления доступом (access control list — ACL) для брандмауэра на периметре сети. Каждый открытый сетевой порт представляет приложение, прослушивающее сеть. Поверхность атаки каждого сервера, подключенного к сети, можно уменьшить, отключив все необязательные сетевые службы и приложения. Каждый открытый порт — потенциальная лазейка для взломщиков, которые используют пробелы в хост-приложении или тайком обращаются к приложению с именем и паролем другого пользователя (либо применяют другой законный метод аутентификации). В любом случае, важный первый шаг для защиты сети — просто отключить неиспользуемые сетевые приложения.

Переадресация пакетов (Port mapping).

У пользователей довольно часто возникает потребность получить доступ из интернета к какому либо ресурсу внутри локальной сети, как например, в нашем случае, к почтовому серверу Microsoft Exchange 2010. Сделать это возможно при помощи технологии port mapping (переадресация портов), которая позволяет удаленным компьютерам подключаться к конкретно тому компьютеру, на котором установлен почтовый сервер. Настройку переадресации портов (проброс портов или Port Forwarding) необходимо проделать, если планируется использовать в домашней сети программы и устройства, которые требуют незапрошенного доступа к ним со стороны локальной сети провайдера или внешнего Интернета.

Port mapping — это переадресация пакетов, принимаемых на определенный порт сетевого интерфейса, далее на определенный порт другого компьютера. Используя технологию port mapping можно разрешить внешний трафик к определенному компьютеру или устройству  локальной сети.

Принцип переадресации портов состоит в следующем: Вы самостоятельно сообщаете маршрутизатору, какой тип незапрошенного трафика извне роутеру следует переправлять на определенный IP адрес домашней сети. Разберем использование port mapping на конкретных примерах, однако, так как на каждом семействе оборудования проброс портов (Port mapping или Port Forwarding) делается по-разному и иногда по-разному называется, я опишу несколько вариантов реализации этой технологии на наиболее типичных представителях оборудования каждого из семейств.

Вариант первый.

Начнем с самого простого, с Windows. Довольно часто встречается ситуация (особенно в случае тестовой или учебной инсталляции на виртуальных машинах, иногда выполняемой даже в домашних условиях), когда компьютер, на котором установлен Microsoft Exchange Server 2010, находится в локальной сети, в которой в качестве шлюза во внешнюю интернет сеть используется компьютер с операционной системой Windows Server и двумя сетевыми интерфейсами, к одному из которых «напрямую» подключен интернет — провайдер, а ко второму — маршрутизатор или коммутатор локальной сети. В этом случае, для проброса портов, необходимых для успешной работы Microsoft Exchange Server 2010, на компьютере Windows Server, выполняющем роль шлюза в локальной сети, необходимо настроить службу маршрутизации. Для этого:

 

   
1. Заходим в Администрирование -> Маршрутизация и удаленный доступ и находим NAT. 2. Включаем для локального интерфейса NAT.
   
3. Настраиваем. Брандмауэр лучше включить в нашем случае, хотя с ним и бывают проблемы. 4. Добавляем службу, называем как хотим, а в настройках прописываем какой порт, куда прокинем в локальной сети и на какой порт.

 

5. Жмем ОК, ОК. Аккуратней с публикацией портов в интернет, рекомендую предварительно установить все обновления и установить сетевой экран (или включить встроенный).

Вариант второй.

После того как пользователь Интернета решил поставить себе роутер (маршрутизатор), дабы подключить к интернету и локальной сети еще несколько компьютеров, или виртуальных серверов, как в нашем случае, у него моментально появляется проблема по настройке этой небольшой коробочки. Многим удается настроить роутер для работы с Интернетом, однако при настройке инфраструктуры для работы с Microsoft Exchange Server 2010 у многих возникают проблемы. Давайте рассмотрим частичную настройку различных роутеров (без основных настроек), которые, как правило, используются либо в домашних условиях, либо в сетевой инфраструктуре компаний малого бизнеса.

Первое что нам сделать это привязать к компьютеру определенный IP-адрес. Как правило, при настройках «по умолчанию» роутер автоматически выдает компьютеру IP-адрес, который при каждом включении компьютера всегда меняется, например, сегодня он 192.168.0.5, а завтра когда вы включили компьютер он уже 192.168.0.30. Нам же для работы сетевой инфраструктуры, обслуживающей  Microsoft Exchange Server 2010 (DNS, Port mapping), нужно чтоб он всегда был 192.168.0.5 и никогда не изменялся. Меняется IP-адрес потому, что в настройках сетевой карты стоит: Получить IP-адрес автоматически.

Итак, нажимаем: пуск->сетевое окружение->в появившемся окне выбираем: отобразить сетевые подключения. В появившемся окне должны отображаться сетевые подключения, их может быть несколько, но нам нужно то, к которому подключен кабель (по которому вы подключены к роутеру, или виртуальному свичу Microsoft Windows Server 2008R2). Выбираем его, щелкаем по нему правой кнопкой мыши и выбираем: состояние. Дальше переходим во вкладку поддержка, и на ней выбираем подробности, после этого открывается окно: детали сетевого подключения. Теперь берем листочек с ручкой и аккуратно переписываем:

  • ·         IP -Адрес – в моем случае это: 192.168.1.3;
  • ·         Маска подсети — в моем случае это: 255.255.255.0;
  • ·         Шлюз по умолчанию (основной шлюз) — в моем случае это: 192.168.1.1;
  • ·         DNS- сервер — в моем случае это: 213.171.61.130.

После того как переписали все значения, проверьте их еще раз, и только после этого жмите кнопку закрыть.

После того как вы закрыли окно: детали сетевого подключения, у вас останется окошко: состояние подключения по локальной сети, это окошко закрывать не нужно. Переходим во вкладку общие, и на этой вкладке жмем кнопочку свойства. В появившимся окне выбираем вкладку общие, после чего прокручиваем полосу прокрутки до пункта: протокол интернета (TCP/IP), нажимаем на него, чтобы выделить, после чего жмем свойства. Теперь, в появившимся окне, выбираем пункт: использовать следующий IP –Адрес. После это берем листочек, на который мы переписывали данные и аккуратно и внимательно вбиваем следующие данные в графы:

  • ·         IP -Адрес – в моем случае это: 192.168.1.3;
  • ·         Маска подсети — в моем случае это: 255.255.255.0;
  • ·         Шлюз по умолчанию (основной шлюз) — в моем случае это: 192.168.1.1;
  • ·         DNS- сервер — в моем случае это: 213.171.61.130.

После того как все значения будут вбиты, проверьте их еще раз, и только после этого жмите кнопку ОК. После этого, проверьте, работает ли интернет, если интернет не работает скорей всего вы где то допустили ошибку когда вбивали циферки, если же интернет работает, переходим к следующей части. На этом первый этап завершается, теперь сетевой карте присвоен постоянный IP-адрес в вашей локальной сети.

Для того чтобы выполнить проброс портов, иначе говоря просто вбить TCP и UDP порты, под определенный IP-адрес, который мы только что настраивали, нужно зайти в настройки роутера (вернее в сам роутер), для этого открываем интернет браузер и вбиваем в строке браузера: http://192.168.1.1 , у различных фирм- производителей этой адрес может вирироваться: так, например, у роутеров D-Link это: http://192.168.0.1, у ASUS- http://192.168.1.1, у Orient http://192.168.1.1, а также у других производителей они не сильно отличаются — адрес похож на основной шлюз, который мы вбиваем в настройках сетевой карты. В следующем окошке вводим логин и пароль, логин обычно admin , пароль либо admin, либо 12345 либо 1234 либо вообще его там нет, но это при условии что с первой настройкой его не поменяли, т.е. пусто, ничего писать не надо.

Теперь, в зависимости от модели роутера и фирмы производителя нужно найти в настройках роутера пункт: Port Forwarding (Перенаправление портов) у других же это Virtual Server List (Виртуальный сервер), иногда у роутеров бывают различные прошивки, так например название может быть как на русском, так и на английском языке.

Теперь нужно поставить галочку напротив Enable Port Forwarding (Включить перенаправление портов). После этого можно переходить к пробросу портов, для этого в окошко IP-Address вбиваем IP адрес сетевой карточки, которую мы настраивали в первой части, его же мы записывали на листочке (192.168.1.3). В поле Protocol выбираем TCP, в Port Range нужно вбить порт, желательно ставить больше 15000, я поставлю 27000 начальный и 27000 конечный (должны совпадать), а в Comment можно написать что угодно, оно не влияет на настройку, но если компьютеров много, то этот комментарий не дает запутаться к чему именно относится данная запись. После того как вся информация о сетевых настройках была нами введена, жмем на кнопочку: Apply Changes.

Теперь нужно сделать тоже самое, но только поменять протокол на UDP, при этом IP-Address вбиваем тот же (192.168.1.3), в поле Protocol выбираем UDP, в Port Range нужно вбить порт, желательно ставить больше 5000, я поставлю 7500 начальный и 7500 конечный (должны совпадать). После того как все это было вбито жмем на кнопочку: Apply Changes.

После этого настройку можно считать завершенной, только предварительно проверьте: правильно ли вы ввели цифры и выбрали протоколы. Также следует проверить осталась ли галочка на Enable Port Forwarding (Включить перенаправление портов) или на других моделях роутеров это Enable Virtual Server (Включить виртуальный сервер).

В том случае, если у вас в качестве роутера используется D-Link DI-604, то чтобы зайти в роутер открываем любой браузер и вводим в адресной строке http://192.168.0.1 , после этого появится окно, в котором нужно вбить логин и пароль, обычно логин: admin .а окно с паролем пустое, но это при условии что когда роутер настраивали первый раз логин и пароль не поменяли. Мы зашли на роутер, теперь описание пойдет по следующим шагам. Для начала переходим во вкладку: Advanced, далее нажимаем на кнопку Virtual Server и Enabled, что означат включение нового правила для TCP порта, после этого вводим комментарий, он может быть любым, так как на настройку этот пункт не влияет. Далее вбиваем IP-адрес, который мы настраивали в первой части и записывали на листочек, выбираем протокол TCP, Пробиваем порт, желательно больше 15000, порт придумываете сами какой больше нравится, главное чтобы Private Port и Public Port были одинаковые, переключатель Shedule ставите в положение Always, что означает, что порт будет перенаправляться всегда, а не в какой-то определенный день недели. После того как все ввели, жмем на кнопочку Apply, после чего роутер немного подумает и добавит новую запись в таблицу. После это нужно создать еще одну запись, но уже для проброса UDP порта, там нужно вводить тоже самое только поменять протокол и номер порта, желательно больше 5000, хотя в некоторых источниках говорится, что UDP и TCP должны совпадать, однако лучше ставьте разные.

Для роутера, те же самые действия выполняются несколько иначе. Для этого вам потребуется используя интернет-браузер зайти на web-интерфейс роутера по адресу: http://192.168.1.1. Настроить Port Forwarding (проброс портов) можно в пункте меню. «Переадресация портов / запуск портов». В данном меню можно создать правила переадресации портов, как на основе готовых шаблонов, так и для конкретного вида трафика. В настройках роутера вам потребуется активировать режим соединения Брандмауэр с ручным перенаправлением портов.

 

http://ru.wikibooks.org/wiki/TCP/IP

http://orbiter.ucoz.ru/publ/27-1-0-132

http://help.fregat.com/general/ports

http://help.fregat.com/general/firewall

http://linuxforum.ru/viewtopic.php?id=129

http://www.xnets.ru/plugins/content/content.php?content.207.5

http://www.russianproxy.ru/node/325

http://www.alexhost.ru/hosting_article_44.php

http://sysadminblog.ru/windows/2010/05/21/probros-portov-port-forwarding-v-windows-2003-server-1.html

http://www.alexhost.ru/hosting_article_53.php

http://sysadminblog.ru/cisco/2010/05/25/nastroyka-probrosa-portov-port-forwarding-v-cisco-2.html

http://sysadminblog.ru/blog/cisco/12.html

http://sysadminblog.ru/microsoft/2011/03/14/porty-ispolzuemye-microsoft-exchange-server-2010.html

http://www.alexhost.ru/hosting_article_46.php

http://technet.microsoft.com/ru-ru/library/bb331973.aspx

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B

http://gorposmos.ru/index/nastrojka_routera_v_internet_seti_spidi_lajn_3/0-266

http://forum.spydc.ru/index.php?showtopic=22

http://www.tradetelecom.ru/advice/news_detail.php?ID=114122

http://gorposmos.ru/index/nastrojka_routera_v_internet_seti_spidi_lajn_3/0-266

Пока нет комментариев.

Вы должны зайти чтобы оставить комментарийt.

Нет трэкбэков.
 

You need to log in to vote

The blog owner requires users to be logged in to be able to vote for this post.

Alternatively, if you do not have an account yet you can create one here.

Powered by Vote It Up