PTT數位生活區 / NetSecurity (資安 資訊安全)

[問題] SSG5的設定.

看板NetSecurity (資安 資訊安全)作者 (clcy)時間14年前 (2010/09/21 22:24), 編輯推噓1(1011)
留言12則, 3人參與, 最新討論串1/1
大家好,小弟最近在設定SSG5時遇到一個怪問題. 就是小弟的環境裡有3個實體IP,其中兩個IP分派給兩台SERVER. 所以小弟就設定成... 10.1.1.1 ->SSG5的外部IP 10.1.1.2 ->指給MAIL 10.1.1.3 ->指給OTHER 內部的IP為 192.168.1.254 ->SSG5的內部IP 192.168.1.200 ->MAIL SERVER 192.168.1.201 ->APP OTHER 就小弟所知道的,就是先把SSG5的主要IP設定好. 然後去MIP裡把192.168.1.254設定跟10.1.1.1在一起 再來去設定VIP. VIP1:10.1.1.2 service: 192.168.1.200 port:25 192.168.1.200 port:110 192.168.1.200 port:80 (web mail) policy: untrust any ->trust VIP(10.1.1.2) service:mutile 25,110,80 trust any<->any 設定完後,內部上網沒有問題,但是外部要連線到內部的mail server都進不來. 小弟有把log勾起來,也看不到任何連線進來的log...(DNS有設定了) 請問這樣子是什麼問題嗎?? 謝謝. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.32.102.138
09/22 02:31, , 1F
如果只是單一實體IP對內部單一虛擬IP不是設定MIP嗎?
09/22 02:31, 1F
09/22 02:33, , 2F
雖然VIP也可做到.不過按照你的需求我會覺得MIP比較省事
09/22 02:33, 2F
09/22 12:38, , 3F
您好,我是三個實體IP對多個虛擬IP(BY PORT),所以我有
09/22 12:38, 3F
09/22 12:39, , 4F
設定MIP也有設定VIP.MIP用來設定直接連到SSG5的WEB UI
09/22 12:39, 4F
09/22 12:39, , 5F
VIP設定其它的服務.
09/22 12:39, 5F
09/22 12:45, , 6F
是說外部client直接設定mail server ip呢?
09/22 12:45, 6F
09/22 12:48, , 7F
可以在policy最後設定:untrust any >trust any deny
09/22 12:48, 7F
09/22 12:49, , 8F
並且勾選log,確認外部client使否有連到firewall
09/22 12:49, 8F
09/22 12:50, , 9F
如果外部都連不到firewall這樣你上面就是設心酸囉
09/22 12:50, 9F
09/22 18:30, , 10F
嗯...就是連LOG都沒有才心酸...原本在用的是OK的.備援機
09/22 18:30, 10F
09/22 18:30, , 11F
上線就發生這個狀況.感覺是ATU-R找不到SSG5..
09/22 18:30, 11F
10/06 21:34, , 12F
policy裡的service改成any試試
10/06 21:34, 12F
更多 conlich 的文章
文章代碼(AID): #1CcC0D1k (NetSecurity)
NetSecurity 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 conlich 的文章
文章代碼(AID): #1CcC0D1k (NetSecurity)