企业邮件服务器不能实现内外部的转发功能

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

11^# 发表于 2001-11-28 16:25

斑竹，你好！
等你的回贴，谢谢。
你刚才说的端口转发是不是就可以解决当只有一个外部IP时，又要提供多个服务的情况？避免把WWW、DNS、proxy、邮件全部做到接internet 的一台服务器上？请讲详细点好吗？再次谢谢你！　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

12^# 发表于 2001-11-28 21:28

可以通过ipchains和ipfwadm以及ipmasqadm来实现，实现起来比较麻烦，如果你是新手，推荐你用一款专业级的防火墙，对与你只有一个IP地址而言，用smoothwall，网上有下在的ISO文件，可linux一样，很小只有几十兆，可功能却极为强大。或者另一个叫astaro，也有下载的，比较适合做较大网络的防火墙，NAT和DMZ支持相当好。不过我还是推荐你用Smoothwall，简单易用，是基于ipchains的防火墙，只要花5分钟，安装设置全部完成，试试吧！　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

13^# 发表于 2001-11-29 10:34

谢谢你！你刚才讲的那些软件我都没用过，不过我查到一本书上写的一个例子类似我这里的情况，完全只用了ipchains就实现转发，他的ipchains是这样设置的，请你看看对吗？

#允许eth0（外网卡）接收所有来自Internet，访问企业内部WWW服务器的请求
ipchains -A input -j ACCEPT -i eth0 -p tcp -s 0.0.0.0/0 1024: -d 192.168.1.3/32 www

ipchains -A input -j ACCEPT -i eth0 -p udp -s 0.0.0.0/0
1024: -d 192.168.1.3/32 www

#允许eth1（内网卡）接收企业内部WWW服务器向Internet客户返回的请求应答
ipchains -A input -j ACCEPT -i eth1 -p tcp -s 192.168.1.3/32 www -d 0.0.0.0/0 1024:
ipchains -A input -j ACCEPT -i eth1 -p udp -s 192.168.1.3.32 www -d 0.0.0.0/0 1024:

#允许eth1接收所有企业内部客户访问IneternetWWW服务器的请求
ipchains -A input -j ACCEPT -i eth1 -p tcp -s 192.168.1.0/24 1024: -d 0.0.0.0/0 www

ipchains -A input -j ACCEPT -i eth1 -p udp -s 192.168.1.0/24 1024: -d 0.0.0.0/0 www

#允许eth0接收Internet WWW服务器对企业内部客户的WWW请求作出的应答
ipchains -A input -j ACCEPT -i eth0 -p tcp -s 0.0.0.0/0 www
-d 192.168.1.0/24 1024:

ipchains -A input -j ACCEPT -i eth0 -p udp -s 0.0.0.0/0 www
-d 192.168.1.0/24 1024:

其他服务如邮件、FTP、DNS类似上面

斑竹你看这样的ipchains语句可以实现端口转发吗？跟你刚才提到的那些防火墙软件在实现功能上有无不同呢？
　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

14^# 发表于 2001-11-29 19:26

可以实现，但是实现起来总有这样那样的漏洞或者缺陷，我所提到的防火墙也是使用了ipchains，命令也是差不多，只是它在设置起来更加简单（通过浏览器），而且功能更加强大（代理服务器，NAT，DMZ支持，DHCP服务，日志记录，IDS入侵检测等），你可以试试！　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

15^# 发表于 2001-11-30 09:12

谢谢斑竹，你说的有漏洞和缺陷。能否提一些？教教小弟
另恕小弟无知，smoothwall-0.9.9.iso文件怎么使用？需要解压吗？

[已被 nuked 编辑过, 在 2001-11-30 11:14]　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

16^# 发表于 2001-12-05 23:00

毕竟我们不是专业的安全专家，漏洞问题还是肯定会有的，还有就算我们照着上述的做了，也不见得能成功，因为Ipchains配置比较麻烦，所以有了很多配置它的工具，你可以试试！
至于smoothwall，ISO文件是光盘镜像，你用Nero或者其他刻录工具就可以烧到光盘上去，光盘是可启动的，就和Linux一样！装完后配置就可以了，很简单，也很好用！　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

17^# 发表于 2001-12-06 08:56

非常感谢，我正在试。　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

18^# 发表于 2001-12-14 09:26

因最近忙其他的事所以没有继续做，现在有个问题请教：利用端口转发功能还需要在防火墙上做邮件转发吗？　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

19^# 发表于 2001-12-14 09:41

因为邮件发送也是通过数据包在特定端口传递来实现的，所以在防火墙上做了端口转发以后，所有发送到防火墙的25、110端口的数据包都被转发到了你指定的计算机上，也就相当与把邮件转发了，这样就只要使用一个邮件服务器就可以，而不必在防火墙内外设置两个邮件服务器了。　　　　　　

UID: 41676
帖子: 57
积分: 131
在线时间: 4 小时

20^# 发表于 2001-12-14 10:51

那就是说我这台邮件服务器按正常设置就可以了吧不需要什么特别要注意的了？

斑竹真是个热心人！　　　　　　