Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3157 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Suggested Exchange setup

weeeezzll
I'm a bit anal about putting Windows machines in the DMZ.  I have an exchange server that I would like to be completely behind the firewall (local IP only).  I will be using the SMTP Proxy (for blacklist and antivirus) to process mail.

I was thinking of configuring the SMTP proxy as you normally would with transparent mode turned off and then configuring DNAT rules for other protocols as needed.  I would like to keep the existing public address that my exchange server is using.  Would I add this as an additional IP to the public interface?

Does this sound like a good idea?  Is there a better way to accomplish this?  Are there any know issues with this sort of configuration?

Thanks in advance for your help!


This thread was automatically locked due to age.
  • 0
    You could DNAT the ports with or without an additional IP.
    e.g. if you needed port 443 for webmail, you could DNAT that port on the ASL's EXT address.
    If you're running ASL WebMin or the user portal on 443, you'd need to move that, or add an additional EXT IP address.

    If you're not doing webmail or any remote admin (without a VPN) on the exchange server, you shouldn't need any DNAT settings for it.

    Barry
  • 0 in reply to BarryG
    I think I figured out the problem.  The IP I was using was 67.108.177.200 which worked fine with my exchange server when it was in the DMZ.  But when I disabled that interface, leaving it only in the local network, and then added that ip as an additional IP on the firewalls external, I would get nothing.  Last night I changed the IP we use for the our mail server to .202 and everything works fine now.  I'm not sure why 200 wouldn't work for me.  But when it was configured as an additional address on the firewall, even with an ALL ALL ALL - ALLOW packet filter in place and a wide open DNAT rule it was like it didn't exist from outside the network.  The exact same setup with .202 worked like a charm.

    New question though.  With my exchange server completely behind the firewall (in a local only setup)  If I opened all ports via packet filters and DNAT would the IPS still apply to the traffic going to my exchange server?
  • 0 in reply to weeeezzll
    It should.

    Make sure you don't have a packet filter that allows everything... you really don't want to be opening up all the NetBios/SMB, UPNP, DNS, etc. to your exchange server.

    Barry
  • 0 in reply to BarryG
    Yea, in the case of the exchange server I think i'm going to make it available only via the SMTP proxy for the MTA and VPN connection for clients.
  • 0 in reply to weeeezzll
    In that case, you shouldn't need to DNAT anything.
    Unless the VPN server is the same as the Exchange server?

    Barry
Cookie Information Banner