Установка Microsoft Exchange Server 2010 на раз, два, три. Руководство для начинающих. Часть 15. Сканирование портов сервисов Microsoft Exchange Server 2010.

Нажимаем на кнопку Найти ip–адреса. В поле Порты: TCP и UDP Вам нужно вписать значения портов, по которым Вы планируете дальнейшую работу службы DNS и непосредственно самого Microsoft Exchange Server 2010. Рекомендуем Вам выбирать значения портов, которые легко запомнить, и при этом необходимо проверить, что данные порты не заняты системой (о чем мы уже писали ранее). Желательно чтобы TCP и UDP имели разное значение.

После этого необходимо вернуться в меню настройки переадресации портов и нажать на кнопку Добавить собственную службу для создания правила переадресации. Затем перед Вами откроется диалог для детального создания правила проброса портов. Здесь в поле Имя службы укажем название для первого правила переадресации. В поле Тип службы укажем протоколы, по которым роутеру нужно будет прокидывать траффик. Службы DNS, AD и непосредственно сам Microsoft Exchange Server 2010 используют TCP и UDP пакеты данных для своей работы, поэтому выбираем вариант TCP/UDP.

Затем в полях Начальный порт и Конечный порт укажем значения портов, по которым нам требуется перенаправлять внешний трафик во внутреннюю подсеть за роутером (эти значения должны совпадать с портами служб DNS, AD и Microsoft Exchange Server 2010). В поле IP-адрес сервера необходимо указать значение внутреннего IP адреса компьютеров в вашей локальной сети, на который роутеру нужно переадресовывать этот самый трафик. Его значение должно в точности совпадать со значением IP адреса в правиле переадресации портов вашего маршрутизатора! После чего вам лишь остается нажать на кнопку Применить для активации правила переадресации. После создания правила перенаправления портов в WGR614v9 оно попадает в список активных правил.

Для того, чтобы строить Port Forwarding в роутере D-Link DIR-320 необходимооткрыть любой браузер и ввести в адресной строке адрес http://192.168.0.1. После выполнения этого действия откроется диалоговое окно в котором необходимо ввести логин и пароль, обычно логин: admin .а окно с паролем пустое, но это при условии что когда роутер настраивали первый раз логин и пароль не поменяли. После ввода учетных данных Вы попадете в главное меню роутера Мы зашли на роутер, Далее настоятельно рекомендуем убедиться, что в Вашем D-Link’е установлена последняя версия прошивки (внутреннего программного обеспечения)! Это связано с исправлением ошибок, присущих предыдущим версиях ПО, а также с повышением стабильности работы маршрутизатора после обновления прошивки. Проверить текущую версию прошивки можно в пункте Maintenance – Firmware update.

Далее переходим на вкладку: Advanced – Port Forwarding. В этом меню маршрутизатора Длинк можно создать 24 правила проброса портов. Это можно сделать как на основе готовых шаблонов, так и для конкретного вида трафика. На следующем шаге нажимаем на кнопку Virtual Server. Поскольку наше правило переадресации не подпадает под какой-либо шаблон, то оставляем вариант Custom. В поле Name укажем название нашего первого правила переадресации (по желанию). На настройку этот пункт не влияет. В поле IP Address необходимо указать значение внутреннего IP адреса компьютера в вашей локальной сети (он одинаковый для TCP и UDP порта), на который роутеру нужно переадресовывать этот самый трафик. Узнать внутренний IP адрес можно в состоянии подключения по локальной сети. Его значение должно в точности совпадать со значением в правиле переадресации портов нашего маршрутизатора D-Link! Затем в поле Public Port укажем значения портов, с которых нам требуется перенаправлять внешний трафик во внутреннюю подсеть за роутером (главное чтобы Private Port и Public Port были одинаковые). Эта опция позволяет указать не один конкретный порт, а сразу диапазон портов, но в нашем случае подобное не требуется. В поле Private Port следует указать значение порта, на который будет передаваться трафик по внутреннему IP адресу. В поле Traffic Type мы указываем — какой именно тип трафика (TCP, UDP или всё сразу) необходимо переадресовывать нашему маршрутизатору D-Link согласно данному правилу. Мы выбрали вариант Any (любой), тем самым убив двух зайцев, чтобы не создавать по правилу для TCP и UDP протокола в отдельности. Переключатель Schedule необходимо установить  в положение Always, что означает, что порт будет перенаправляться всегда, а не в какой-то определенный день недели.

Вариант третий.

В компониях малого бизнеса не часто, но всетаки иногда используется оборудование фирмы Cisco, поэтому, в силу специфики его настройки мы вынесли настройку инфраструктуры для работы с Microsoft Exchange Server 2010 на основероутеров этой компании, в отдельный третий пункт.

Задачей будет настроить трансляцию с внешних адресов 200.100.50.56, 200.100.50.57 на адреса 192.168.1.1 — ftp сервис, 192.168.1.2 — веб сервис, 172.18.9.202 — все порты с адреса 200.100.50.57.

Схема подключения наших серверов:


Для проброса портов добавим в конфигурацию nat трансляцию. Пробросим FTP:

 

static (inside,outside) tcp 200.100.50.56 ftp-data 192.168.1.1 ftp-data netmask 255.255.255.255 static (inside,outside) tcp 200.100.50.56 ftp 192.168.1.1 ftp netmask 255.255.255.255

 Пробросим WEB:

static (inside,outside) tcp 200.100.50.56 www 192.168.1.2 www netmask 255.255.255.255

Пробросим все порты на адрес в dmz зоне:

static (dmz,outside) 200.100.50.57 172.18.9.202 netmask 255.255.255.255 static (dmz,inside) 200.100.50.57 172.18.9.202 netmask 255.255.255.255

Тоже самое в IOS будет выглядеть примерно так:

ip nat inside source static tcp 192.168.1.1 21 200.100.50.56 21 ip nat inside source static tcp 192.168.1.2 80 200.100.50.56 80 ip nat inside source static tcp 172.18.9.202 200.100.50.57 extendable

Кстати, если не ошибаюсь, для того, чтоб второй «внешний» ip был доступен, надо дописать еще пару строк:

access-list <name_acl> permit tcp any host xxx.xxх.xxх.xxx access-group <name_acl> in interface outside

Второй нашей задачей будет настроить маршрутизатор для типовых задач небольшой офисной сети. В примере будут использоваться следующие настройки: локальная сеть 192.168.1.0 с маской 255.255.255.0, интернет соединение с выделенной подсетью на 8 внешних адресов 200.100.50.56 с маской 255.255.255.248, демилитаризированная зона 172.18.9.1 с маской 255.255.255.0. Демилитаризированная зона это отдельная сеть не связанная с локальной и используемая для публикации внешних ресурсов в интернете, например для www сервера.Так же в нашем примере будет дополнительная сеть связанная с нашей локальной сетью через маршрутизатор.

 

Схема сети используемой в примере

Конфигурация

domain-name my.ru enable password ******* encrypted names ! interface Ethernet0  nameif outside  security-level 0  ip address 200.100.50.62 255.255.255.248 ! interface Ethernet1  nameif inside  security-level 100  ip address 192.168.1.2 255.255.255.0 ! interface Ethernet2  nameif dmz  security-level 50  ip address 172.18.9.1 255.255.255.0 ! passwd ******** encrypted ! time-range Work_Time  periodic daily 6:00 to 22:59 ! no ftp mode passive clock timezone msk 3 dns domain-lookup outside dns domain-lookup inside dns name-server 192.168.1.60 access-list acl_outside extended permit tcp any host 200.100.50.58 eq www access-list acl_outside extended permit tcp any host 200.100.50.58 eq smtp access-list acl_outside extended permit tcp any host 200.100.50.58 eq pop3 access-list acl_outside extended permit icmp any any access-list acl_outside extended permit tcp any host 200.100.50.59 access-list NatInsidetoDmz extended permit ip 192.168.1.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list NatInsidetoDmz extended permit ip 192.168.1.0 255.255.255.0 172.18.9.0 255.255.255.0 access-list NatInsidetoDmz extended permit ip 172.18.9.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list acl_dmz extended permit tcp any any access-list acl_dmz extended permit icmp any any access-list acl_dmz extended permit udp any any access-list inside_mpc_in extended permit icmp any any access-list inside_mpc_in extended permit tcp host 192.168.1.1 any access-list inside_mpc_in extended permit tcp host 192.168.1.4 any access-list inside_mpc_in extended permit tcp host 192.168.1.100 any access-list inside_mpc_in extended permit ip host 192.168.1.3 any access-list snmp_acl extended permit tcp any any eq 161 access-list snmp_acl extended permit tcp any any eq 162 ! snmp-map sample_policy  deny version 1 ! pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz 1500 icmp permit any echo-reply outside icmp permit any echo outside icmp permit any unreachable outside icmp permit any outside icmp permit any echo-reply inside icmp permit any echo inside icmp permit any unreachable inside icmp permit any echo-reply dmz icmp permit any echo dmz icmp permit any unreachable dmz arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) tcp 200.100.50.58 pop3 192.168.1.1 pop3 netmask 255.255.255.255 static (inside,outside) tcp 200.100.50.58 smtp 192.168.1.1 smtp netmask 255.255.255.255 static (inside,outside) tcp 200.100.50.58 ftp-data 192.168.1.4 ftp-data netmask 255.255.255.255 static (inside,outside) tcp 200.100.50.58 ftp 192.168.1.4 ftp netmask 255.255.255.255 static (dmz,outside) 200.100.50.59 172.18.9.202 netmask 255.255.255.255 static (dmz,inside) 200.100.50.59 172.18.9.202 netmask 255.255.255.255 access-group acl_outside in interface outside access-group inside_mpc_in in interface inside access-group acl_dmz in interface dmz route outside 0.0.0.0 0.0.0.0 200.100.50.57 1 route inside 192.168.3.0 255.255.255.0 192.168.1.5 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute username admin password ********* encrypted aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authentication enable console LOCAL snmp-server host inside 192.168.1.190 community pix_tesv udp-port 161 snmp-server location inside snmp-server community pix_tesv snmp-server enable traps snmp linkup linkdown coldstart snmp-server enable traps syslog snmp-server enable traps ipsec start stop telnet timeout 5 ssh 192.168.1.0 255.255.255.0 inside ssh timeout 30 console timeout 0 management-access inside ! class-map snmp_port  match access-list snmp_acl class-map inspection_default  match default-inspection-traffic ! ! policy-map global_policy  class inspection_default   inspect ftp   inspect icmp   inspect http   inspect dns maximum-length 512   inspect tftp   inspect sqlnet   inspect xdmcp   inspect rsh   inspect esmtp   inspect sip   inspect rtsp   inspect skinny   inspect pptp   inspect mgcp   inspect h323 h225   inspect h323 ras policy-map sample_policy  class snmp_port   inspect snmp sample_policy ! service-policy global_policy global service-policy sample_policy interface outside

Итак, в итоге мы получили:

1. www сервер в dmz зоне, его адрес 200.100.50.59;

2. почтовый сервер 192.168.1.1 доступный и сети интернет по адресу 200.100.50.58;

3. FTP сервер 192.168.1.4 доступный и сети интернет по адресу 200.100.50.58;

4. Полный доступ к интернет для ПК 192.168.1.100;

В этом примере использовалось большое количество дополнительных команд, которые возможно не нужны большинству пользователей, поскольку без них не работали некоторые сервисы. Например для работы ftp потребовалось:

policy-map global_policy  class inspection_default   inspect ftp

Для работы ping нужно было

icmp permit any echo-reply outside icmp permit any echo outside icmp permit any unreachable outside icmp permit any outside icmp permit any echo-reply inside icmp permit any echo inside icmp permit any unreachable inside icmp permit any echo-reply dmz icmp permit any echo dmz icmp permit any unreachable dmz

 

На завершающем этапе, для того чтобы определить насколько правильно выпленна настройка необходимо произвести сканирование портов и Аудит журнала брандмауэра.

Сканирование портов.

Сканирование портов — процесс обнаружения прослушивающих приложений путем активного опроса сетевых портов компьютера или другого сетевого устройства. В ходе анализа пакетов извлекается информация об IP-адресах отправителя и назначения и задействованных сетевых портах. Умение читать результаты сканирования и сравнивать сетевые отчеты с результатами хост-опроса портов позволяет составить ясную картину трафика, проходящего через сеть. Знание сетевой топологии — важное условие подготовки стратегического плана сканирования конкретных областей. Например, сканируя диапазон внешних IP-адресов, можно собрать ценные данные о взломщике, проникшем из Internet.

 

 

 

http://ru.wikibooks.org/wiki/TCP/IP

http://orbiter.ucoz.ru/publ/27-1-0-132

http://help.fregat.com/general/ports

http://help.fregat.com/general/firewall

http://linuxforum.ru/viewtopic.php?id=129

http://www.xnets.ru/plugins/content/content.php?content.207.5

http://www.russianproxy.ru/node/325

http://www.alexhost.ru/hosting_article_44.php

http://sysadminblog.ru/windows/2010/05/21/probros-portov-port-forwarding-v-windows-2003-server-1.html

http://www.alexhost.ru/hosting_article_53.php

http://sysadminblog.ru/cisco/2010/05/25/nastroyka-probrosa-portov-port-forwarding-v-cisco-2.html

http://sysadminblog.ru/blog/cisco/12.html

http://sysadminblog.ru/microsoft/2011/03/14/porty-ispolzuemye-microsoft-exchange-server-2010.html

http://www.alexhost.ru/hosting_article_46.php

http://technet.microsoft.com/ru-ru/library/bb331973.aspx

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B

http://gorposmos.ru/index/nastrojka_routera_v_internet_seti_spidi_lajn_3/0-266

http://forum.spydc.ru/index.php?showtopic=22

http://www.tradetelecom.ru/advice/news_detail.php?ID=114122

http://gorposmos.ru/index/nastrojka_routera_v_internet_seti_spidi_lajn_3/0-266

Пока нет комментариев.

Вы должны зайти чтобы оставить комментарийt.

Нет трэкбэков.
 

You need to log in to vote

The blog owner requires users to be logged in to be able to vote for this post.

Alternatively, if you do not have an account yet you can create one here.

Powered by Vote It Up