作者conlich (clcy)
看板NetSecurity
标题[问题] SSG5的设定.
时间Tue Sep 21 22:24:11 2010
大家好,小弟最近在设定SSG5时遇到一个怪问题.
就是小弟的环境里有3个实体IP,其中两个IP分派给两台SERVER.
所以小弟就设定成...
10.1.1.1 ->SSG5的外部IP
10.1.1.2 ->指给MAIL
10.1.1.3 ->指给OTHER
内部的IP为
192.168.1.254 ->SSG5的内部IP
192.168.1.200 ->MAIL SERVER
192.168.1.201 ->APP OTHER
就小弟所知道的,就是先把SSG5的主要IP设定好.
然後去MIP里把192.168.1.254设定跟10.1.1.1在一起
再来去设定VIP.
VIP1:10.1.1.2
service:
192.168.1.200 port:25
192.168.1.200 port:110
192.168.1.200 port:80 (web mail)
policy:
untrust any ->trust VIP(10.1.1.2) service:mutile 25,110,80
trust any<->any
设定完後,内部上网没有问题,但是外部要连线到内部的mail server都进不来.
小弟有把log勾起来,也看不到任何连线进来的log...(DNS有设定了)
请问这样子是什麽问题吗??
谢谢.
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 114.32.102.138
1F:推 JohnMyung:如果只是单一实体IP对内部单一虚拟IP不是设定MIP吗? 09/22 02:31
2F:→ JohnMyung:虽然VIP也可做到.不过按照你的需求我会觉得MIP比较省事 09/22 02:33
3F:→ conlich:您好,我是三个实体IP对多个虚拟IP(BY PORT),所以我有 09/22 12:38
4F:→ conlich:设定MIP也有设定VIP.MIP用来设定直接连到SSG5的WEB UI 09/22 12:39
5F:→ conlich:VIP设定其它的服务. 09/22 12:39
6F:→ JohnMyung:是说外部client直接设定mail server ip呢? 09/22 12:45
7F:→ JohnMyung:可以在policy最後设定:untrust any >trust any deny 09/22 12:48
8F:→ JohnMyung:并且勾选log,确认外部client使否有连到firewall 09/22 12:49
9F:→ JohnMyung:如果外部都连不到firewall这样你上面就是设心酸罗 09/22 12:50
10F:→ conlich:嗯...就是连LOG都没有才心酸...原本在用的是OK的.备援机 09/22 18:30
11F:→ conlich:上线就发生这个状况.感觉是ATU-R找不到SSG5.. 09/22 18:30
12F:→ winkissimo:policy里的service改成any试试 10/06 21:34