三、 问题解决
3.1 、防火墙设置
3.1.1 NAT与PAT
NAT(Network Address Translation,网络地址变换)将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。俗称一对一的映射。即将某个公网IP与内部某个IP对应起来。
PAT叫端口地址转换,PAT可以看做是NAT的一部分 。俗称一对多的映射。即可以将一个公网IP映射到多个内部IP上。通过端口号区分映射到那个IP上。
例如:公网IP是202.1.1.2。内部有多台服务器,分别是FTP服务器192.168.1.2,web服务器192.168.1.3,邮件系统服务器192.168.1.4。防火墙可以定义202.1.1.2的21端口映射到192.168.1.2的21端口上,这样Internet上访问ftp:// 202.1.1.21:21就可以访问FTP服务器了。同理将202.1.1.2的80端口映射到192.168.1.3的80端口上,这样Internet上访问http:// 202.1.1.2:80 就可以访问WWW服务器了。
而将25端口映射到邮件系统服务器上,internet就可以通过202.1.1.2访问邮件服务器的25端口。
3.1.2 PAT情形下梭子鱼反垃圾邮件网关的安装
此种情况下,将202.1.1.2的25端口映射到梭子鱼反垃圾邮件网关的IP地址上。为了确保梭子鱼反垃圾邮件网关的正常进行,防火墙需要为梭子鱼反垃圾邮件网关开放的端口一览表如下:
|
端口 |
协议 |
用途 |
TCP/UDP |
IN/OUT |
Opt / Req |
|
22 |
SSH |
安全技术支持 |
TCP |
IN/OUT |
必须 |
|
25 |
SMTP |
|
TCP |
IN/OUT |
必须 |
|
53 |
DNS |
Email Checks |
UDP |
OUT |
必须 |
|
80 |
HTTP |
动态更新 |
TCP |
OUT |
必须 |
|
443 |
SSL |
HTTPS 连接 |
TCP |
IN |
可选 |
|
8000 |
HTTP |
默认Web界面登陆 |
TCP |
IN |
可选 |
防火墙还需要将下列端口映射给邮件服务器,(其中最常见的有):
80——邮件服务器webmail的默认界面,以便在外网可以使用webmail收发邮件。
110——pop,在外网可以用pop收取邮件。
443——webmail的HTTPS连接方式。
3.1.3 NAT情形下梭子鱼反垃圾邮件网关的安装
方法一:将202.1.1.2 NAT给梭子鱼反垃圾邮件网关IP地址。外部任何端口的连接都将映射到梭子鱼反垃圾邮件网关上。
存在的问题:漫游用户将无法使用webmail,pop。
例如:漫游用户希望使用webmail发送邮件。访问http://202.1.1.2:80 ,根据NAT的规则,将访问梭子鱼反垃圾邮件网关的80端口。该用户是无法打开原来邮件服务器的Webmail的。
解决方法:梭子鱼反垃圾邮件网关内部设置端口重定向。
在梭子鱼反垃圾邮件网关内设置端口重定向,例如经过设置访问梭子鱼反垃圾邮件网关80端口的连接请求都将被重定向到邮件服务器的80端口上。
方法二:梭子鱼反垃圾邮件网关使用邮件服务器原有的IP地址。
该方法也需要在梭子鱼反垃圾邮件网关上设置端口重定向。
3.2 转发与外发设置
1、在“转端口”安装模式下,常常需要设置此功能。
2、利用此功能,可以实现双向过滤。
3.2.1 梭子鱼反垃圾邮件网关默认关闭转发功能
在梭子鱼反垃圾邮件网关基础设置-》IP设置中,允许的收件域设置。如下图:barracudanetworks.com.cn是允许的收件域,也就是梭子鱼反垃圾邮件网关要保护的邮件域。发到梭子鱼反垃圾邮件网关上的邮件如果收件域不是这里设置的允许的收件域,则梭子鱼反垃圾邮件网关一律拒收。
3.2.2 什么时侯需要设置允许转发功能
当本域用户向外发送邮件经过梭子鱼反垃圾邮件网关时,需要在高级设置-》允许转发中进行设置。
例如:abc@barracudanetworks.com.cn 发给 123@msn.com 的邮件经过梭子鱼反垃圾邮件网关时。由于梭子鱼反垃圾邮件网关只接收收件域为@barracudanetworks.com.cn的邮件,所以会把这封邮件拒收。这样本域用户就无法通过梭子鱼反垃圾邮件网关发送邮件。解决的办法就是在允许转发中进行相关设置。
为什么本域外发的邮件会发送到梭子鱼反垃圾邮件网关上呢?
原因之一:用户的故意设置。用户这样设置是希望梭子鱼反垃圾邮件网关能够过滤所有的外发邮件。
原因之二:梭子鱼反垃圾邮件网关采用“转端口”方式造成的。
场景:laker公司采用“转端口”方式安装梭子鱼反垃圾邮件网关。邮件服务器为内部IP,防火墙映射了一个公网IP218.104.133.20给邮件服务器,并绑定了POP3、SMTP、www等服务。也就是说,把218.104.133.20的25、80、110端口映射(PAT)给了邮件服务器。
为了达到过滤垃圾邮件的目的,安装梭子鱼反垃圾邮件网关后,把25端口映射给梭子鱼反垃圾邮件网关,使得所有外部来的邮件流都定向到梭子鱼反垃圾邮件网关上。这样当外网用户在outlook写完邮件,点击发送时,邮件经过MUA要发到邮件服务器上,由于防火墙转了端口,所以邮件被发到了梭子鱼反垃圾邮件网关上。而梭子鱼反垃圾邮件网关将拒收收件人非本域邮件。
3.2.3 如何设置允许转发功能
对应上述两种情况,如何设置允许转发功能,使得本域外网用户发到其它域如(hotmail.com)的邮件不被拒绝呢?
A 、 IP转发许可
将IP地址或地址段加入到下图中“可信任的转发IP/区间”,那么梭子鱼反垃圾邮件网关可以转发来自这些IP的邮件。独立IP地址时,掩码设置为255.255.255.255。如果是一个网段,掩码设置为255.255.255.0。下图中,允许192.168.1.0这个网段的客户端用户通过梭子鱼反垃圾邮件网关发信。请勿将掩码设置成0.0.0.0,这表示所有的IP都可以通过梭子鱼反垃圾邮件网关发送邮件。这相当于开启了“匿名转发”功能。任何一个人都可以通过梭子鱼反垃圾邮件网关发送邮件,而不管是不是本域邮件的有效用户。
场景:laker公司内网IP为192.168.1.0网段,有一个用户tom他的电脑的IP是192.168.1.66,tom使用outlook发送邮件。公司网络管理员在他的outlook邮箱设置中将SMTP服务器设置成了梭子鱼反垃圾邮件网关的IP地址192.168.1.120。tom写了一封邮件,发给他的客户yang@hotmail.com.然后点击发送,这封邮件将由MUA发到梭子鱼反垃圾邮件网关上。由于梭子鱼反垃圾邮件网关设置允许该网段发送邮件。所以梭子鱼反垃圾邮件网关并不拒收这封邮件。梭子鱼反垃圾邮件网关经过过滤和日志记录后,将直接把邮件发送到hotmail.com的邮件服务器上。而不是发到本域邮件服务器上,再由邮件服务器发送给hotmail。
B、 域名许可
例如将test.com填入上图中“可信任的转发主机/域”。则梭子鱼反垃圾邮件网关能够转发发件人域为test.com的邮件。不过,在这种情况下可能导致某些垃圾邮件以test.com为发件域转发垃圾邮件。
C 、信任的发件人许可
例如将jason@test.com加入“允许转发的发送者”,则该发件人可以通过梭子鱼反垃圾邮件网关外发邮件。不过这种情况下可能导致某些垃圾邮件以jason@test.com为发件人转发垃圾邮件。
D 、通过设置SMTP认证方式完成
客户端SMTP直接连接到梭子鱼反垃圾邮件网关上时,在梭子鱼反垃圾邮件网关上设置SMTP认证方式,该用户发送邮件时,梭子鱼反垃圾邮件网关到服务器上验证收件人的合法性,若收件人合法,则梭子鱼反垃圾邮件网关直接将邮件发出;若不合法,梭子鱼反垃圾邮件网关将拒绝此邮件。
更多邮件系统、反垃圾邮件网关、邮件归档、负载均衡、web应用防火墙、上网行为管理等产品的介绍请登录公司产品中心了解详情。
本文由:实施方案于(2011-09-15)发表了关于梭子鱼反垃圾邮件网关端口转发安装详解(2)的文章
。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
