This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exchange Server Behind firewall....

Ok I want to put an exsisting Exchange server behind my Firewall... my Exchange server is currently recieving mail for 2 domains... now..

my Server's IP is x.x.x.67 here is what I have tried

I added a Virtual IP on the external Interface

for 
x.x.x.67
255.255.255.255

I created a network Definition for the same and called it Exchange_Ext

I Also created a Definition for Exchange_INT at the IP of 192.168.10.5

I changed the IP of the Exchange Server to

192.168.10.5

I set up SNAT/DNAT to forward all packets from 
Exchange_Ext>> Exchange_INT 

I opened the nessicary ports as listed by microsoft http://support.microsoft.com/default.aspx?scid=kb;EN-US;q280132

from this point I could send mail but not recieve it....

does that setup sound correct? I want to use the SMTP Proxy  so I can filter spam 

would I need to close the SMTP port so that SMTP would not be forwarded directly from the Virtual IP x.x.x.67?


This thread was automatically locked due to age.
Parents
  • You need neither NAT nor packet filtering, nor alias addresses for this.

    1. Change the MX records for the domains to the external IP of your firewall.

    2. Turn on the SMTP proxy and add 2 SMTP routes for your domains, pointing to your internal exchange server IP. Also add the exchange server IP as "allowed network".

    3. Configure the exchange server to forward all external mail to the internal firewall IP.

    poof. done.    

    /tom
  • Once you have your MX records pointing to the alias IF of ASL you can setup a DNAT rule to allow SMTP to the int_exch.

    Any -> EXC_Pub / SMTP   None   Exch_int 

    you also need a Packet Filter Rule
    Any - SMTP - Exch_int

    This works.
  • Originally posted by lanman:
    Once you have your MX records pointing to the alias IF of ASL you can setup a DNAT rule to allow SMTP to the int_exch.

    Any -> EXC_Pub / SMTP   None   Exch_int 

    you also need a Packet Filter Rule
    Any - SMTP - Exch_int

    This works.
    Hey Lanman now is the industry in Phoenix??? I really want to move out there... is it pretty slow?  
    ----------------------------------------------

    I think what I will end up doing is changing the IP on the external Interface of the firwall to the current IP of my Mailserver (so I don't have to wait for MX records to refresh and repopulate)

    then I will set up DNAT/SNAT to forward the remaining ports such as HTTP and LDAP to the EXCH_INT so I can use the OWA on the Exchange server...

    anyone see any problems with this???  

    If I am using the SMTP Proxy I would not want to forward the SMPT traffic to my EXCH_INT machine would I? If I NAT'd it through the firwall woudln't that bypass the SMTP Proxy?
  • Just for clarification:

    NAT -> No virus scanning

       

    Use the proxy, Luke.

    /tom
  • Originally posted by tom:
    Just for clarification:

    NAT -> No virus scanning

         

    Use the proxy, Luke.

    /tom
    ok exactly what I thought.....

    thanks guy's I will let you know how it turns out, especially if I can't figure it out... but I don't think that I will have too much dificulty. 

    To guide me, the Proxy I will use, filters and scanning I will implement.
  • Hello!

    We want to buy Astaro this week and are trying to build up our system before so we can see if it is working correctly (the second try)     .

    Our configuration is similar to knights one.

    leased line(public ips)
        |
    Astaro--------Web-/Testserver(public ips)DMZ
        |
        |
    ------intern------
    | PDC(W2K-Server)
    | Exchange 
    | clients 1-n

    The problem I already discussed with the presales support from Astaro - so we changed it to the above configuration:
    The PDC and Exchange should be in the same network as the clients but the services running on the servers (OWA/https, smtps, spop3 and source control) must be accessible from the public.
    The source control service should be managed via DNAT?!
    But what is the solution for the exchange server -can Knights config also be integrated in our system?
    The two server had public ips before and these one must be used again   [:(]nterface of the astaro??).

    Thanks for your help.

    Christian
Reply
  • Hello!

    We want to buy Astaro this week and are trying to build up our system before so we can see if it is working correctly (the second try)     .

    Our configuration is similar to knights one.

    leased line(public ips)
        |
    Astaro--------Web-/Testserver(public ips)DMZ
        |
        |
    ------intern------
    | PDC(W2K-Server)
    | Exchange 
    | clients 1-n

    The problem I already discussed with the presales support from Astaro - so we changed it to the above configuration:
    The PDC and Exchange should be in the same network as the clients but the services running on the servers (OWA/https, smtps, spop3 and source control) must be accessible from the public.
    The source control service should be managed via DNAT?!
    But what is the solution for the exchange server -can Knights config also be integrated in our system?
    The two server had public ips before and these one must be used again   [:(]nterface of the astaro??).

    Thanks for your help.

    Christian
Children
  • C.Haecker,

    if you add the former IP adresses of your Exchange
    server to the firewall and use this as MX and the
    firewall as SMTP proxy, you'd need to SNAT the
    outgoing SMTP traffic of the SMTP proxy to the
    aliases. Otherwise the proxy would use the real
    IP bound to ethX. 

    Your employees can easily go on using SMTPS and
    SPOP3, those ports have to be DNATted.

    Make sure that your Exchange uses ASL as smarthost! (outgoing SMTP relay).

    read you
    o|iver
  • @o.desch:
    In this case it would be the best solutions to give the Astaro firewall the MX-IP and run the shown proxy-configuration on it. For SNAT is not need anymore.
    Is this the best way?
    Thanks for answer.

    Wish you a nice weekend.

    Greets
    Chris