Drron
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здраствуйте коллеги.
Существует задача обеспечения доступности почтовых сервисов (smtp, pop3) из интернета.
Почтовый сервер находиться в ДМЗ, и иеет адрес например 192.168.0.30.
Сейчас имеется канал в интернет от одного провайдера. На пиксе настроено перенаправление портов в ДМЗ к почтовому серверу.
Т.е. сейчас коннект приходит на реальник пикса в виде:
ххх.ххх.ххх.ххх port yyy-> zzz.zzz.zzz.zzz port 25
и пробрасывается к почтовику. Запрос на почтовике выглядит так:
ххх.ххх.ххх.ххх port yyy-> 192.168.0.30 port 25.
Ответ соответственно 192.168.0.30 port 25 -> ххх.ххх.ххх.ххх port yyy
и после ната на пиксе - соответственно
zzz.zzz.zzz.zzz port 25 -> ххх.ххх.ххх.ххх port yyy.
В случае проблем с провайдером почта перестает работать.
Для защиты от этого планируется приобретение второго канала в интернет у другого провайдера.
Тут сразу же возникают вопросы как все связать в кучу?
Хочу посоветоваться с вами по поводу решения данного вопроса.
_____________________________________________________________________________
Как я себе представляю его решение.
1. В ДНС регистрируем записи:
MX 5 mail.mydomain.ru.
mail.mydomain.ru. IN A zzz.zzz.zzz.zzz
mail.mydomain.ru. IN A yyy.yyy.yyy.yyy
Соответсвенно клиентам будет выдаваться адрес то одного, то второго провайдера
(плюс балансировка нагрузки по каналам), а при недоступности одного из адресов клиент будет пробовать соединяться по второму каналу, что должно обеспечить доступность.
2. Ставим два пикса с внутренними адресами 192.168.0.1 , 192.168.0.2. Тут мы упираемся в проблему связаную со шлюзом по умолчанию, т.к. простое перенапрвление портов приведет к тому, что все пакеты (пришедшие и с первого и со второго провайдера обратно будут уходить через шлюз по умолчанию, т.е. через первого провайдера).
Необходимо как-то отслеживать с какого пикса пришел запрос и отсылать ответ на него через тот-же пикс. Вопрос как это реализовать?
Другой вариант - вместо перенаправления портов на пиксе настраиваем нат по почтовым портам в ДМЗ зону. Тогда IP клиента от первого провайдера будет подменяться на внутренний адрес пикса 192.168.0.1 , а запрос от - второго провайдера - на адрес 192.168.0.2 . В итоге т.к. все три адреса находятся в одной сети, то проблем шо шлюзом не возникнет, т.к запрос от 192.168.0.1 уйдет к 192.168.0.1 , а он в итоге поменят в заголовке пакет на свой внешний адрес и отправит клиенту. То-же самое произойдет со вторым пиксом.
Минусом данного способа является не возможность контроля адреса отправителя по обратной зоне в ДНС, т.к. запросы к почтовику прийдут всегда либо от 192.168.0.1, либо от 192.168.0.2.
3. Почта с меня будет уходить в соответствии со шлюзом по умолчанию и т.к. можно прописать два шлюза с разными метриками то при невозможности подключиться через первый шлюз будет произведена попытка соединиться через второй шлюз.
Подскажите может есть более красивые и простые решения реализации данной проблемы.
|
Всего записей: 826 | Зарегистр. 20-11-2003 | Отправлено: 19:08 11-04-2007 | Исправлено: Drron, 19:10 11-04-2007 |
|
