רוטר - שאלה בחיבור 2 רשתות שונות (1-פנימי 2-חיצוני) למחשב אחד ... למבינים בתחום

יומן פעילות	לוח שנה	מבזקי חדשות	תקנון	RSS	כותרות	כותרות לפי תגובה	ניקוי קוקיז	IP	להורדת אפליקציה
eBay	AliExpress	GearBest	Amazon	Booking	Kiwi	SkyScanner	Trip Advisor

"שאלה בחיבור 2 רשתות שונות (1-פנימי 2-חיצוני) למחשב אחד ... למבינים בתחום"

גירסת הדפסה

קבוצות דיון חומרה, רשתות ואבטחת מידע נושא #20681	מנהל סגן המנהל מפקח Winner צל"ש מומחה

אשכול מספר 20681

cmishal
חבר מתאריך 22.3.02
1465 הודעות, דרג אמינות חבר זה

17:13 12.09.13

שאלה בחיבור 2 רשתות שונות (1-פנימי 2-חיצוני) למחשב אחד ... למבינים בתחום

אז ככה ישנו שרת עם כרטיס רשת מספר 1 שמחובר לרשת פנימית IPVPN של בזק ומתקשר עם עוד כ 20 עמדות
יש לציין שהרשת הזאת לא מחוברת לאינטרנט החיצוני
עד כאן היה מאז ומתמיד
כרגע יש דרישה שאותו שרת ישלח אימלים לאחד המנהלים לגבי התראות מסוימות ולכן יש לחבר את השרת בעזרת עוד כרטיס רשת מספר 2 לאינטרנט חיצוני
ומכיון שזה צריך להיות מאובטח יחסית השאלה שלי היא איך לעשות את זה הכי טוב וכמובן שיעבוד ולא ייפגע ברשת הפנימית
אני חשבתי לחבר לכרטיס רשת המספר 2 ראוטר של צק פוינט לחסום את כל האינטרנט ולפתוח רק את אופציית שליחת אימלים לפי מספרי הפורט או משהו כזה
1. האם זה יעבוד ? ובמידה וכן האם זה בטעות יכול לחסום משהו שקשור לרשת השני בכרטיס רשת מספר 1 (אני חושב שלא אבל אני בכל זאת שואל)
2. משהו יודע מה אני אמור לפתוח בראוטר מבחינת הרשאת לשליחת אימלים בלבד
3. האם יש רעיון אחר ?
תודה

שתף

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

האשכול	מחבר	תאריך כתיבה	מספר
שאלה	sza	12.09.13 17:19	1
מכיון ש..	cmishal	12.09.13 17:21	2
בגדול לא יהיה לך דואר נכנס, ככה שאין צורך לשנות את המערך שלך	sza	12.09.13 17:26	3
אני אגיד לך מה הבעיה...	cmishal	12.09.13 17:32	4
SMTP	yoavz	13.09.13 14:01	7
זה רק אם הוא הsmtp	code_blue	13.09.13 16:55	9
האם ברשת ipvpn כל ה20 שרתים	eliran007	12.09.13 20:04	5
השרת הוא סתם שרת הוא לא DC ולא כלום	cmishal	12.09.13 21:56	6
מאיפה הקביעה שאי אפשר שני DG?	yonigrin	15.09.13 11:17	11
windows?	eliran007	16.09.13 21:21	15
מכתב	yoavz	13.09.13 14:04	8
הכיוון שלך מעולה	code_blue	13.09.13 16:58	10
כן זה פחות או יותר מה שהבנתי שאני אמור לעשות רק יש לי שאלה	cmishal	15.09.13 11:52	12
אם אי לך בכלל GW ומדובר על כל שרת באותו סאבנט	code_blue	16.09.13 07:54	13
באותה מידה אפשר לשים סוויטצ' או ראוטר קטן של סיסקו	bmx-boy	16.09.13 18:07	14
אגב, אתה לא צריך כרטיס פיזי נוסף	amir1	17.09.13 01:58	16
עדכון ...	cmishal	17.09.13 06:57	17
טוב שבדקת זה אכן משנה דברים	code_blue	18.09.13 08:50	18

sza

חבר מתאריך 26.4.02
12357 הודעות, 22 פידבק, 43 נקודות

17:19 12.09.13

1. שאלה
בתגובה להודעה מספר 0

למה לא לחסום ע"י פיירוול תוכנתי?
פורטים שאתה צריך להשאיר פתוחים הם של SMTP
25\587.

http://webleader.co.il/websites/rotter/amionline.php#.jpg צחי.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

cmishal
חבר מתאריך 22.3.02
1465 הודעות, דרג אמינות חבר זה

17:21 12.09.13

2. מכיון ש..
בתגובה להודעה מספר 1

בצק פוינט הזה יש אנטי וירוס אנטי רוגלות אנטי ספאם והוא גם פיירוואל
והבנתי שזה יותר חזק מתוכנה
מדובר ב WINDOWS SERVER 2013
ואם בכל זאת אתה ממליץ על תוכנה אשמח שתרשום לי איזה וכמה העלות שלה +/-

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

sza

חבר מתאריך 26.4.02
12357 הודעות, 22 פידבק, 43 נקודות

17:26 12.09.13

3. בגדול לא יהיה לך דואר נכנס, ככה שאין צורך לשנות את המערך שלך
בתגובה להודעה מספר 2

אתה יכול להמשיך להשתמש באנטיוירוס שהיה לך, התקשורת תהיה החוצה בלבד מהשרת.
אתה צריך פיירוול שיעשה עבודה די פשוטה, יחסום את כל תעבורת האינטרנט פרט לפורט 25 לתקשורת החוצה.
אתה לא צריך אפילו להגדיר את השרת כשרת מיילים. אתה יכול להשתמש בשרת חיצוני כמו ג'ימייל.

http://webleader.co.il/websites/rotter/amionline.php#.jpg צחי.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

cmishal
חבר מתאריך 22.3.02
1465 הודעות, דרג אמינות חבר זה

17:32 12.09.13

4. אני אגיד לך מה הבעיה...
בתגובה להודעה מספר 3

ברגע שאני אשים פיירוואל תוכנתי על השרת הוא יתפקד על שני כרטיסי הרשת וייתכן והוא יחסום לי דברים שקשורים לרשת הפנימית של ה VPN (תקן אותי אם אני טועה)
ואם אני אשים "חיצוני" מהמחשב כדוגמת הצק פוינט הוא יתפקד רק על כרטיס רשת אחד "מחוץ" למחשב
אני מקווה שזה היה ברור כי קצת קשה להסביר

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yoavz
חבר מתאריך 12.9.13
415 הודעות, דרג אמינות חבר זה

14:01 13.09.13

7. SMTP
בתגובה להודעה מספר 3

היי,
בגלל כל בעיות הספאם היום מיילים ממקורות ללא positive ranking מבצעים תהליך שנקרא graylisting שעושים bounce למייל ורק בהופ הבא הם מעבירים.
שרת דואר כדי לעבוד בצורה תקינה חייב להיות נגיש לעולם ומאוד מאוד מאוד מומלץ שיוגדר לו PTR תקין וMX שהוא גם A Record.

יואב

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

code_blue

חבר מתאריך 5.7.06
21280 הודעות, 7 פידבק, 14 נקודות

16:55 13.09.13

9. זה רק אם הוא הsmtp
בתגובה להודעה מספר 7

אחרת אין קשר למה שכתבת שהרי הוא שולח דרך smtp של הספק

נשלח ע"י הסלולרי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

eliran007
חבר מתאריך 22.3.02
18453 הודעות, דרג אמינות חבר זה

20:04 12.09.13

5. האם ברשת ipvpn כל ה20 שרתים
בתגובה להודעה מספר 0

שאיתם הוא מתקשר נמצאים באותו סאבנט?
כי אתה לא באמת יכול לעבוד בווינדוס עם שתי DG

נשלח ע"י הסלולרי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

cmishal
חבר מתאריך 22.3.02
1465 הודעות, דרג אמינות חבר זה

21:56 12.09.13

6. השרת הוא סתם שרת הוא לא DC ולא כלום
בתגובה להודעה מספר 5

באותה המידה זה היה יכול להיות WIN 7 בשרת
פשוט סתם הוחלט לשים WIN 2013 אין לו משמעות מבחינת פיצרים של שרת וכו ...
אם לזה התכוונת

ומה זה DG ?

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yonigrin

חבר מתאריך 13.10.07
4032 הודעות, 21 פידבק, 36 נקודות

11:17 15.09.13

11. מאיפה הקביעה שאי אפשר שני DG?
בתגובה להודעה מספר 5

יש לנו עשרות שרתים שמחוברים בDMZ, רגל פה רגל שם, ועובדים יפה מאד עם שני DG וטבלת ניתובים.

----------------------------
ניסיתי לעזור לך?
עזרתי לך?
ענינתי אותך?
דרגו אותי!
תודה!

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

eliran007
חבר מתאריך 22.3.02
18453 הודעות, דרג אמינות חבר זה

21:21 16.09.13

15. windows?
בתגובה להודעה מספר 11

נשלח ע"י הסלולרי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yoavz
חבר מתאריך 12.9.13
415 הודעות, דרג אמינות חבר זה

14:04 13.09.13

8. מכתב
בתגובה להודעה מספר 0

הדרך הכי נוחה לעשות את זה לטעמי זה להריץ שרת שיש לו רגל אחת בLAN של הIPVPN ורגל אחת בWAN ולא להגדיר אצלו שום routing. ככה תחסוך התעסקות מיותרת בפיירוולים החומרתיים.
הכי פשוט יהיה לעשות את זה עם שרת לינוקס, חסימה כמעט הרמטית בעזרת iptables וpostfix או exim.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

code_blue

חבר מתאריך 5.7.06
21280 הודעות, 7 פידבק, 14 נקודות

16:58 13.09.13

10. הכיוון שלך מעולה
בתגובה להודעה מספר 0

אותו שרת צריך קודם כל לבטל בו ניתוב של 0.0.0.0 ולעשות ניתוב פרטני אך ורק לכתובת הsmtp דרך הממשק החדש.
ואז בצקפוינט לאפשר להוסט הזה רק תעבורה יוצאת לכיוון ספציפי של השרת דואר כולל כתובת ופורט ככל שיהיה מדויק יותר כך יהיה מאובטח יותר

נשלח ע"י הסלולרי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

cmishal
חבר מתאריך 22.3.02
1465 הודעות, דרג אמינות חבר זה

11:52 15.09.13

12. כן זה פחות או יותר מה שהבנתי שאני אמור לעשות רק יש לי שאלה
בתגובה להודעה מספר 10

אם הבנתי נכון אם ברגל של IPVPN אין לי GATEWAY ז"א כל ה 20 מחשבים אם אותו GATEAWY אזי אני לא אמור לעשות טבלת ניתוב כי זה לא משנה לי

אני אבדוק את זה
במידה ויש להם GATEAWY שונים אני מבין שאני צריך לעשות טבלת ניתוב
עשיתי את זה פעם או פעמיים בעבר דרך CMD אבל אני לא ממש זוכר
אשמח אם תוכל לרשום לי את הפקודות
אני מניח שאתה צריך נתונים של כתובות ה IP של הכרטיסי רשת אבל תתן לי דוגמא ושאני אהיה בשטח אני אשנה לפי הכתובות "האמתיים"
תודה

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

code_blue

חבר מתאריך 5.7.06
21280 הודעות, 7 פידבק, 14 נקודות

07:54 16.09.13

13. אם אי לך בכלל GW ומדובר על כל שרת באותו סאבנט
בתגובה להודעה מספר 12

אז בכלל ובכלל אין בעייה

כלומר תצא עננה של רשת X נגיד 192.168.10.0/24 (סתם זרקתי)
על רגל 1
ואז על רגל 2 תתחבר לאינטרנט או לממשק שהולך לכיוון אינטרנט
אם "חיבור ישיר לאינטרנט על ידי חייגן" - זה יצור לך אוטומטית DG לכיוון האינטרנט (כמובן שהגישה לרשת ברגל 1 לא תושפע כי אין שם GW זה DIRECTLY CONNECTED )
אם "חיבור לציוד שבו יש חיבור לאינטרנט" - כן תצטרך ליצור ניתוב ועדיף יחידני לכיוון השרת דואר שיצא דרך אותו ממשק לכיוון

כמובן העוגן פה הוא שעל רגל 1 אין בכלל GW וזה רשת אחת

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

bmx-boy

חבר מתאריך 1.8.02
2991 הודעות, 2 פידבק, 4 נקודות

18:07 16.09.13

14. באותה מידה אפשר לשים סוויטצ' או ראוטר קטן של סיסקו
בתגובה להודעה מספר 0

באותה מידע אתה יכול לחבר לרגל שיוצאת החוצה איזה סוויטצ' או ראוטר קטן של סיסקו (משהו פשוט ביותר יחסית) ולהגדיר לו ACL שמתיר תקשורת רק דרך פורטים של SMTP.
או שאתה יכול לחבר רגל נוספת ולהשתמש ב Routing Table המובנה בווינדוז.

לא אמור להיות מסו

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

amir1

חבר מתאריך 15.4.02
20986 הודעות, 8 פידבק, 16 נקודות

01:58 17.09.13

16. אגב, אתה לא צריך כרטיס פיזי נוסף
בתגובה להודעה מספר 0

קח מודם/ראוטר נוסף וחבר אותו לראוטר הקיים
תן לו כתובת שונה ובטל לו DHCP
ואז בהגדרות TCPIP של הכרטיסס הקיים בשרת
תוסיף IP נוסף בסדרה של הראוטר החדש .
נכון שצורת חיבור כזו פותחת פתח למחשב אחר שמחובר לאוטר הראשון
אבל לדעתי אם תבצע את החסימות בצורה חומרתית או בראוטר עצמו
אז לא תהיה בעיה .

אשמח לשמוע ביקורות מהחברים

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

cmishal
חבר מתאריך 22.3.02
1465 הודעות, דרג אמינות חבר זה

06:57 17.09.13

17. עדכון ...
בתגובה להודעה מספר 0

אז ככה מסתבר שיש GW גם ברשת של IPVPN (של בזק)
דבר נוסף אני צריך לפתוח עוד פורט מספר 1521 לאיזה אפליקציה נוספת וכמובן את ה SMTP שזה פורט 25
אז זה אומר שאני חייב לבצע את טבלת הניתוב באמת
אני יותר מאוחר אתן את הכתובות ה IP ואשמח אם משהו ייתן לי את פקודות הניתוב בווינדוס עצמו
תודה בינתיים לכולם

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

code_blue

חבר מתאריך 5.7.06
21280 הודעות, 7 פידבק, 14 נקודות

08:50 18.09.13

18. טוב שבדקת זה אכן משנה דברים
בתגובה להודעה מספר 17

האם הפורט הזה 1521 הוא לכיוון יעד קבוע ?
לגבי SMTP אין בעייה הוא קבוע אתה יכול לעשות ניתוב סטטי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד