Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4176 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configuring Exchange server in the DMZ behind ASL

Spawn
Hello,

I am running Exchange 2000, IIS  (Hosting my own website),  FTP and DNS on the same BOX 192.168.1.5 (Windows 2000 Adv Server) which is behind my ASL in the DMZ.  So far I got my IIS and FTP configured so anyone from external and internal can access it.  However, I am not clear on how to get my Exchange server communicating properly so I can send and receive emails. So far I have enabled the SMTP proxy and created MX record on the Internal DNS server. How do I know if my internal DNS is even communicating with external DNS's on the internet. Is there a way I can create a MX record on ASL? I have a static IP (24.14.xx.xx) on my ASL's External Interface  from my ISP (cable modem). I have registered this IP to reflect to my domain name at godaddy.com. All I want is to Send and Receive emails on the Exchange server for my domain. Can somebody  PLEASE help me?

Thanks a lot in advance!  


This thread was automatically locked due to age.
Parents
  • 0
    Hi Spawn,

    for your incoming mail it is important you have the correct MX-record in the DNS at your provider which should point to your external Interface (probably a second ip-address which you bound there) . So every mail which is send to your domain will routed to your astaro.
    At the ASL you enable the proxy and allow incoming from any and forward them to your exchange. Allow only mails which has the right domain-part. 


    Another possibility is route every mail (incoming smtp) with a d-nat and the appropriate packet-filter to your exchange-server. 

    I Hope I described it correct. I haven't any ASL now here. It is only out of my brain, which could be wrong.

    Regards

    Udo Seiler 
  • 0 in reply to Udo_Seiler
    Did you configure your Exchange Server to forward all mails to the firewall address?

    Did you configure the SMTP proxy to pass on all mail for your domain to the Exchange server?
      
  • 0 in reply to SecApp
    My ISP does not provide more than one IP.  Can't I use the same IP I have right now. My Exchange was fine when it was directly connected to internet because I had public IP and I was able to add MX record to my dns server.But things got complicated when ASL come in to the picture. Doesn't ASL have its own DNS server where I can create an MX record?

     When I registered my name server with my domain provider I used the IP of my External Interface (24.xx.xx.xx). I also want to create www Host record on the DNS so people can get to it straight instead of nameserver.mydomain.com.

    I am not sure how can I do this:
    Configure  Exchange Server to forward all mails to the firewall address? Using Smart Host?
    How can I configure the SMTP proxy to pass on all mail for my domain to the Exchange server? Using MX Record?

    Thanks!  
Reply
  • 0 in reply to SecApp
    My ISP does not provide more than one IP.  Can't I use the same IP I have right now. My Exchange was fine when it was directly connected to internet because I had public IP and I was able to add MX record to my dns server.But things got complicated when ASL come in to the picture. Doesn't ASL have its own DNS server where I can create an MX record?

     When I registered my name server with my domain provider I used the IP of my External Interface (24.xx.xx.xx). I also want to create www Host record on the DNS so people can get to it straight instead of nameserver.mydomain.com.

    I am not sure how can I do this:
    Configure  Exchange Server to forward all mails to the firewall address? Using Smart Host?
    How can I configure the SMTP proxy to pass on all mail for my domain to the Exchange server? Using MX Record?

    Thanks!  
Children
  • 0 in reply to Spawn
    You first have to decide whether you will be using all private network numbers on your LAN (they begin with 192, 172, 10...), or 'real' ones (such as your 24... address). I will proceed to explain what you want to do if you will be using private numbers.

    • You are running an internal DNS server. Astaro can only act as a forwarding DNS server; you cannot add records to it (conventionally, at least; yet? with a new version, you might be able to...). So you need to add a DNAT rule to have DNS hitting the firewall interface from the Internet translated to the address of the internal DNS server behind the firewall (I am presuming your network behind the firewall is using a private network number, like 192...; repost here if you are not). Since you have a DNS on the LAN, you probably do not want to enable the DNS proxy on Astaro; just have your users use your internal DNS. Of course, make sure there are packetfilter rules to allow DNS queries both from and to your internal DNS server from the Internet. (Really ideally from a security standpoint, configure DNSSEC if you can -that discussion would take a lot more to explain!!).
    • Make sure your domain is entered correctly on the Settings page. In the SMTP proxy settings, there is a setting to forward all mail for a domain. Your Exchange clients and firewall will not reference the name for your external MX. Why? The IP address of the MX will not work on the LAN; it only works for packets arriving from the Internet on the firewall's external interface. Only the private network number you are using on your LAN (whatever that is; 192...?) will work for accessing the mail server from the LAN. A trick done for some DNS configurations is to take a subdomain and make it not expoosed to the internet (so if you have company.com, you add a subdomain office.company.com or internal.company.com, and use DNS options that dictate that only queries coming from your LAN's private network number (such as 192...) will 'see' mailserver.office.company.com, or printer.office.company.com. Then Exchange clients use mailserver.office.company, but people on the 'net see the MX entry as, say, mail.company.com, which has the IP address of the external interface of the firewall

      This strategy is called 'split DNS', and it is sometimes done across two servers, or the same as I suggested here. This is as complicated as conventional firewalling gets, so relax, read it a few times, ask more questions if need be. After a few reads and maybe another question or two, you will get it.
    [/list]         
  • 0 in reply to SecApp
    SecApp, First of all  Thanks a lot   for your response. 
     You made everything clear to me now.

    Yes, all my internal and DMZ uses private IP (192.168.xx.x) 
    I have added DNAT rules and packet filter rules for DNS and SMTP. I have also disabled the DNS Proxy on ASL. My DNS and Exchange server seems to work just fine now. [:)] 

    I am little concerned though about my ports being open to internet now.  I did a port scan on grc.com using their SheildsUP and port 25,53,80,443 showed up as Open.
    Is this something to be concerned about? Or its normal?
    Is there a way to hide these ports so they show up as stealth? Also, would enabling the PortScan Detection help or screw things up like my FTP and SMTP?

    Anyways, I have accomplished exactly what I wanted.

    Thanks again for your help.  [:)]    
  • 0 in reply to Spawn
    25: SMTP. You need this from receiving emails.
    53: DNS. Goto Proxies->DNS. Do not insert "Any" in Allowed Network. By using Any, everybody would be able to use your DNS. That's why Port 53 is shown as open from outside.
    80: HTTP. Your DNATed Webserver. That's ok.
    443: HTTPs. ASL's Webadmin. Same as DNS. Goto System->Settings->WebAdmin Settings->Allowed Networks.

    Cheers
    Xeno  
  • 0 in reply to Spawn
    If your internal DNS server is authoritative for your domain, how are you going to have it do its job of answering queries to the 'net without opening 53??
    If the DNS server at your ISP was authoritative, you could use a restricting rule only allowing inbound DNS traffic from your ISP's DNS; all others take a hike.

    Xeno's right; but you're not using the DNS proxy, so that part is not applicable.

    I find portscan doesn't get me much; others here can take issue with that...
      
  • 0 in reply to SecApp
    I just made a stupid mistake.  I accidently removed ANY from allowed networks for port 443.  Now I can't access Web Admin from anywhere. Internal Interface__  was the only thing for allowed network which is my firewall itself.  Is there a way to access Web Admin without reinsatlling ASL? Can't I put ANY back for allowed networks from the firewall? Maybe some kind of file.


    Thanks!  
  • 0 in reply to Spawn
    Classic miistake; you'll find it on a Search. A minimal answer: log on console, cd /etc/wfe/conf, use joe editor on settings file. More detailed instructions can be retrieved with a Search...
      
  • 0 in reply to SecApp
    SecAPP,

    You are the BEST! 

    I am back in business.    


    Thanks Again!