No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2006
 ISA 2006 - Server e Web Publishing
 ISA e NAT Mail Relay
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

isanewbie
Starting Member

5 Posts

Posted - 19/03/2013 :  14:24:06  Show Profile  Reply with Quote
Ho la necessità di pubblicare il nostro Relay di posta (SMTP) sia per l'invio che per la ricezione della posta.
Ovviamente per la pubblicazione non ci sono problemi, mentre per quanto riguarda la posta in uscita, mi trovo il problema del NAT che avviene con l'IP di default dell'esterna di ISA.

Cercando nel forum ho trovato questa discussione e mi sembra di capire che su ISA 2006 non sia possibile agire, mentre su TMG si.

quote:
Non puoi farlo ne con ISA, ne con TMG..anche se TMG implementa l'enhanced NAT. Va detto che nella documentazione non si trova molto sull'argomento eNAT. Fino ad oggi l'ho utilizzato solo per il Publishing dei servizi (es. server posta SMTP con un IP diverso da quello di default per evitare di finire in black-list ecc.). Non dovrebbe, sinceramente non ho neanche provato, essere usato per il partizionamento del traffico utente. Comunque Microsoft questa modalita' d'uso la mette nell'elenco delle configurazioni non supportate:
"...
Protocol based enhanced NAT is not supported
Issue: Forefront TMG cannot assign NAT IP addresses based on the protocol used (for example, HTTP traffic is assigned one IP address and SMTP another).
Cause: Protocol based enhanced NAT is not supported.
Solution: No workaround.
..."

Non supportato - nella logica Microsoft - non significa implicitamente che NON puo' funzionare, ma ha un significato piu' ampio e articolato.
Un vecchio post sul blog Microsoft mi e' stato utile per chiarire il senso del termine "Unsupported".

Altra questione e' che l'eNAT lo puoi usare solo con traffico NON HTTP/HTTPS (es. SMTP, DNS ecc.). Un interessante post di Philipp Sand del Microsoft CSS Forefront Security Edge Team lo evidenzia nel seguente paragrafo:
"...
Please be aware, that the TMG Web Proxy Filter behavior in this regards doesn’t depend and cannot be modified by any Network Rule setting you configure.
..."


La nostra configurazione prevede ISA come Firewall/proxy in back-end, con una LAN interna, 2 Interfacce DMZ (3-leg template) ed una esterna.
L'esterna è direttamente connessa ad una coppia di Cisco ASA che si occupano del NAT Pubblico per i Listener.

Ora, se ISA non supporta il NAT con IP diverso dal default, sono costretto a configurare un PAT sugli ASA o a spostare in parallelo ad ISA il Mail relay.

Mi confermate quanto detto oppue vi sono alternative per non incorrere in IP diversi per pubblicazione e inoltro, che porterebbe quasi certamente ad essere blacklistati dai sistemi antispam?

Grazie
Axl

lconte
Amministratore del Forum

2017 Posts

Posted - 19/03/2013 :  17:47:26  Show Profile  Reply with Quote
Traffico Outbound => Source IP = Default IP (Primary).

Puoi utilizzare tool terze parti (€€) quale IPBinder:
http://www.collectivesoftware.com/solutions/ipbinder

Non ho avuto modo di provarlo direttamente.

Luca

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
Aderisci al programma di consulenza e supporto:ISA/TMG Assessment Analysis
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association