здравствуйте, собственно вопрос - есть такая конфигурация.
локальная сеть, выход в и-нет через ISA 2000 есть Lotus Domino server 6.5.1 как его опубликовать настроить ip , MX записи я знаю мну мучит дилетантский вопрос, данный сервер не умеет забирать почту по POP но умеет "слушать" по SMTP , так вот какие трудности могут возникнуть если я его публикую в и-нет. Как я представляю процесс идет так. отправляют по smtp - письмо идет, попадает на прокси, оттуда попадает на порт сервера, как получится на практике не знаю, не знаю чего следует опасаться.
Если кто то сталкивался с подобной задачей подскажите пожалуйста что нибудь путное, заранее спасибо!

Flick
В первую очередь Вам нужно срочно почитать про SMTP ;)
Во-вторую, все определяется на DNS-сервере который держит Ваш домен (правильнее сказать зону), т.е. скорее всего у провайдера.
В принципе ни кто не запрещает делать такой финт ушами, как отправка непосредственно на почтовый сервер минуя разрешение Имен на DNS-серверах, или напрямую по IP, или прописав домены в файле hosts или еще где (Наприме в M-Daemon, можно напрямую можно забить соответствия в текстовый файл почтовый домен<->SMTP сервер. Оочень выручало при падении DNS провайдера).

Есть свич програмируемый 3812
Нужно вот что сделать.
1. Запретить пакеты при изменении ip адреса :)

Есть сеть, мы хотим создать еще одну подсеть поставить туда сервак и админа туда поставить. Но нужно сделать так что бы он не видел основую сеть компании (туда ходит только интернет и всё). Мы беспокоимся что если дать админу полные права на сервер он изменить айпи адрес на адрес основной сети и под своим логином в основной сети скачать информацию на его сервер и записать её на борлванку или на дискету (это уже не важно на что). Или подскадите что можно сделать?

Если на пальцах то ...
Если какой нить админ сменить IP адрес этой сетевой карты не имел доступ в другую подсеть.

1) Картинка красивая, но непонятная
а) Не виден сервер который собираетесь выносить в отдельны сегмент.
б) В отдельном сегменте будет судя по всему целая подсеть? С сервером и станциями?
в) S - это сервер для доступа в интернет? Дорисуйте пожалуйста.

2) Фильтрацию можно проводить на разных уровнях, за сим чем точнее схема, тем более детальные рекомендации можно дать.

3) При изображении сетевых схем надо пользоваться стандартными значками
см. предпоследний пост
http://forum.oszone.net/thread-65280.html

4) Что подразумевается под словосочетанием "только интернет"?
web, ftp, icq? Или все за исключением NetBIOS (сетей Win)?

1) Домино живет на отдельном сервере? Конфигурацию как програмную так и аппаратную сервера где живет Домино.
2) Сервер с Домино в домене?
3) Каковы возможности для выделения домино в DMZ? Управляемый свич? Маршрутизатор?
4) Давайте договоримся что Вы будете излагать часть своих мыслей графически. Одна схемка, даже кривая как турецкая сабля, обычно стоит многих страниц текста.

Вот посмотрите тут что есть а внизу что я хочу сделать, правильно это или есть варианты лучше?

нет главный сервер домино сидит на контроллере домена, (денег нет млин)
да возможность прикупить интернет марш. есть , что-нибудь типа D-link DI-804HV присматриваю, дешево и сердито.
Доимно в домене, но это не проблема поскольку на домен домино не опирается. (за редким искл.)

+ хотя прокси и предполагаемый почтовик не в домене но подсеть одна, домен настроен соответствующим образом.
внизу на схеме, марш и почтовик сейчас отсутствуют это то что хочу сделать


на схеме косяк - на самом деле инет и прокси соединены..(((

В общем пока почтовик живет физически на одном сервере сконтроллером домена о всякой фильтрации (DMZ) можно забыть.
Рекомендации:
1) Прокси и почта должны жить отдельно, лучше каждой по серверу, но вполне терпимо и на 1й
2) Пока не будет выделенного фаервола (именно фаервола в чистом виде) будет тяжело говорить о сегментации. Вобще идеал это 1 функция 1 сегмент (сервер).
3) Фаервол можно купить (только нужен обязательно трехвходовый, т.е. у него 3 группы портов WAN, LAN, DMZ)
Можно собрать из чего-либо старого.

Подитоживаю.
Необходимо получить 1 выделенный компьютер под почту + прокси, а лучше 2.
Купить или собрать 3х портовый фаервол.

В общем можно и при имеющейся конфигурации мапить 25й порт наружу, угроза для безопасности минимальна.
DMZ нужен как средство контроля трафика от сервера на внутреннюю сеть. Если у вас не шибко интеллектуальный свич, то боюсь даже при разделении функций на сервера ограничить доступ тяжко.
А вслучае проживания всех в "общаге" причем DC - в случае чего будет "алесмахен, 31415здохен шварц"

подойдет ли для ваыполнения задачи вот эта штукенция
http://dlink.ru/products/prodview.php?type=15&id=150

все дело в деньгах , а на такую маленькую коробочу за 500 у.е минимум мне никто не даст к сожалению..((((
Поэтому вот такую штуку присмотрел....что скажете,
если за ней спрятать 1 почтовый сервер
на одном компьютере. ?

Я предлагал нечто другое, поставить коробочку фаервол у которой Wan выход смотрит в к провайдеру.
За DMZ портом живет субсеть с почтой и WEB, а к LAN порту подключается собственно LAN.
D-Link Модель DFL-200 - стоит 7000 руб (Если Вы тяготеете к D-link) - это вроде "чистый" фаервол

Однако мне больше нравится (Люблю аккуратные железные вещи)
http://www.trendnet.com/ru/products/TW100-BRV304.htm
за 150$
Это роутер с функцией фаервола.

Кстати, как вы получаете интернет? По какому порту, Ethernet Или USB?

интернет идет по Ethernet с адресом "серым" локальной сети провайдера, собственно его планируется оставить чтобы выпускать пользователей в инет, а новый белый адрес прописать на железке а за ней спрятать почтовик воть... сначала хотел добавить сетевой и-фейс на сервер с прокси и опубликовать порты с помощю isa server выходит лучше через железку.

Для иллюстрации предмета разговора, так сказать
Варианты схемы: На 2х фаерволах без DMZ-порта, и фаерволом с выделенным DMZ-портом

javascript:PrintUserName('kim-aa')
kim-aa скажите! я купил таки посоветанную вами железку, но может я дуб а может и нет только сервер подключенный к дмз порту на ней не пингуется с пк подключенного к лан порту на этой же железке адреса соотв 192,168,10,10 и 192,168,10,11? ничего не понимаю....

Главное непонятное для мну.... каким образом внутренние срвера преприятия увидять сервера в ДМЗ? они должны быть в одной подсети? Иливсе таки в разных? но как тогда маршрутизировать ? настраивать железку?

а между тем настройки там позволяют как я успел заметить настраивать правила файрвола примерно так

WAN -> Lan
Lan -> Wan
DMZ -> WAN
WAN ->DMZ

и ни слова про DMZ -> Lan
или наоборот... знаю, я - тупой, но что делать то ?

1) Какую именно - Trendnet?
2) Хелп что ли пришлите по почте, или укажите.
3) Раслабтесь. Главное спокойствие как говорил Карлосон.
4) Обычно фаерволы с DMZ выделяют ее в отдельную сеть, и только дорогие работают прозрачно на 2м уровне (у PiX вроде бы есть такой уровень), но лучше внимательно перечитать документацию.

модель именно та которую, вы описали выше купил в тот же день? Выходит так что действительно этот порт ДМЗ не предназначен с коммуникацией с ЛАн портами этой же железки, то есть - все блин в натуре плохо (пардон за сленг) , значит можно разместить сервер за файрволом просто через Лан порт железки, на самом ПК поставить второй сетевой и-фейс с адресом смотрящим внутрь локальной сети ... такая конфигурация приемлема?

Тихо ,тихо. Хелп где почитать на него.
Нафиг он такой сдался (в смысле DMZ порт)

Если ВЫ спешите, то действительно можно просто разместить "за фаерволом", просто через LAN порт.
Но все равно лучше знать полностью возможности своего железа, мало ли.

Кстати в поисках документациии наткнулся вот на что http://www.compress.ru/Archive/CP/2004/1/52/
(Надо же, давал рекомендации аналитически и тем не менее угадал.)

Народ указывает "В разделе Routing можно прописывать как маршруты, так и демилитаризованные зоны."

На сайте разработчика
Возможны два варианта firmware http://www.trendware.com/downloads/info/TW100-BRV304.htm

Согласно "Юзер-Жуть" DMZ это отдельный сегмент третьего уровня, со своей сетью.
см. картинку

По моему USER Guide очень подробно. А QIG - quick installation guide вобще все на пальцах, каждый шаг проилюстрирован.

kim-aa, Огромный респект и большое спасибо, все получилось работает пока ни поломали )))) Прсото счаслтлив, прям все здорово, Еще раз спасибо, железка действительно хорошая, но видимо я торопился, а может и еще что то напутал так и не срослось пока с ней, сейчас все готово осталось только через нее подключится/ ))) и ее же натсроить но это думаю ужо не проблемма,

kim-aa

Привет. Такая вот ситуация прикрипил фаил.
Значит так trening room нужно отделить от домена но нужно что бы в эту комнату на "Server" приходил интернет (80 81 21 110) так что бы эта комната ни при каких условиях не видела сеть DOMINE и не могла зайти на неё.
Это пол беды (достаточно простой)
Вот меня инетересут оранжевый свич или еще что либо его роль очень мне важна.
На машине SERVER будет 2 сетевые карты первая в свич общий, вторая в свич в комнату обучения. Так вот нужно сделать так что бы при изменении ip адреса на машине "Server" этот оранжевый свич или другое оборудование блокировало все пакеты на этот "SERVER"

Butunin Klim
Ну вобще-то, судя по схеме Вам достаточно обыкновенного двухвходового фаервола.
Нет, конечно свич будет работать быстрее, только если у Вас задача только инет, то смысла нет.
Опять же, свич который так же богат настройками как фаервол, обычно во столько же и его дороже.

Вобщем если Приведенная Вами схема верна, то вот ситуация вроде Вашей
http://forum.oszone.net/thread-68669.html

Опять же, мне не понятно зачем втыкать в Server 2 сетевых карты.
Достаточно что бы сервер был включен в хаб, а соответственно между хабом изолированной комнаты и хабом основной сети, был включен фаервол.

Если же свич уже есть, то можно построить на нем, путем выделения VLAN.
Правда и тогда я бы ставил 2 карты на фаерволл, а не на сервер.

сеть DOMINE
Вы, часом, не в Ватикане работаете :)

kim-aa Заметь как вырос Butunin Klim если сравнить первый и второй рисунок :) Butunin Klim не обижайся :)