这可能应该是一个维基,不完全确定。在我开始之前,执行扫描的外部服务器是一个自定义的 amavis/postfix/fortigate 管道;建议在该环境中进行任何更改。
我为我工作的电子邮件服务器启用了反向查找拒绝,以减少管理层收到的垃圾邮件的流入。是的,这是管理层的要求,请不要开尖头笑话。在这方面,它非常有效,将我们扫描仪的工作量减少了大约 2 或 3 倍。关闭它无异于职业自杀;请不要建议放弃它作为解决方案。
问题很简单:许多合法发件人,无论是作为供应商还是客户,都外包或最低限度地设置他们的电子邮件服务。服务提供商希望通过尽可能最薄、最小的规定来赚钱,因此他们真的不会对让他们的服务完全合规一事毫不在意。那,或者客户/供应商从未听说过反向查找,并且不会费心修复他们的 DNS 区域(或者在某些情况下,他们甚至不控制他们的 DNS,这是另一天的话题)。这确实是一个简单的修复,他们只需要创建一个与连接 IP 地址匹配的反向查找记录。 服务器的主机名或域名与发件人的域不匹配都没有关系,重要的是对服务器的查找完成了“往返”
我没有一整天的时间去追逐每一个人并打电话,坦率地说,他们中的一些人不会接受电话中的纠缠。但是,出现故障的服务器的数量令人震惊,而且“特殊异常反向查找绕过列表”随着几个新 IP 地址的增加而增长,这一个月过去了。
所以问题是通知合法发件人他们的电子邮件基本上已损坏并需要修复的最佳方式是什么,而不是完全取笑他们?是否有某种方法可以自动通知他们,以便他们获得所需的信息,而不是他们永远不会费心阅读的乏味的拒绝消息?(我保证 99% 的客户和供应商都是非技术人员,只是将其视为“好吧,是您的电子邮件服务器坏了”)
在聊天中进行了一些进一步的讨论后,我回去查看了正在使用的配置文件,我想我已经找到了我的一部分悲伤。正在使用以下选项:
http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname
根据该页面,此选项有严格的要求,因此我认为它会导致一些误报。
我们正在运行 Fortigate 100D,并且在通过 FortiClient 使用 SSL VPN 时遇到了一些问题。
几天后,我在外部 Windows 7 PC 上安装了 FortiClient,SSL VPN 连接并正常工作。
我从那台 PC 上卸载了它并将其安装在另一台外部 Windows 7 PC 上,现在无法连接到 VPN。尝试连接时出现此错误:
无法登录到服务器。您的用户名或密码可能没有为此连接正确配置。(-12)
谷歌非常没有帮助。
我们现在已经在两个外部 Windows 系统上尝试了它,并且在两个系统上都得到了相同的错误。
防火墙的事件日志/vpn 日志中似乎没有任何信息。
客户给这个
7/10/2013 3:20:08 PM Debug ESNAC 开始搜索 FGT
7/10/2013 3:20:08 PM Debug ESNAC Socket connect failed
7/10/2013 3:20:08 PM Debug ESNAC 0.0.0.0
7 /10/2013 3:20:10 PM 调试 ESNAC 套接字连接失败
7/10/2013 3:20:10 PM 调试 ESNAC 192.168.1.1:8010
7/10/2013 3:20:10 PM 调试 ESNAC 结束搜索 FGT
不确定是什么阻止了 VPN 连接。
编辑: 我们已为用户重置密码 - 并且 …
我正在尝试使用 OpenSwan 与 FortiGate 路由器建立 IPsec 连接。FortiGate 位于两个不同的子网中,我需要访问这两个子网。在 FortiGate 中,我定义了一个阶段 1 连接和一个阶段 2 连接。这使我能够成功连接到其中一个子网。
我需要能够同时访问两个子网。公认的智慧似乎是在 OpenSwan 中创建两个单独的连接(每个子网一个),并且在建立附加连接时,它将自动尝试重用现有的第 1 阶段隧道(在为附加连接创建新的第 2 阶段隧道时)。
当我启动这两个连接时,根据日志,OpenSwan 似乎陷入了尝试依次重新协商每个连接的连续循环中(我每次只能 ping 一个子网)。我猜测这是因为 FortiGate 在尝试新连接时会断开现有连接。
我有以下问题:
我应该如何配置 FortiGate 以允许来自同一 IPsec 启动器的两个并发连接(每个子网一个连接)?这可能吗?(文档对此似乎有点含糊。)
我是否需要专门将 FortiGate 中的第 2 阶段连接关联到特定子网,如果是这样,我该如何执行此操作?
在同一端点之间建立多个 IPsec VPN 连接时是否存在任何问题/陷阱?
我有一个 FortiGate 80c,我对如何转发端口以使我的 OpenVPN 服务可以从外部访问感到迷茫。
我确实设置了 VirtualIP,将内部 IP 上的 tcp 1194 分配给外部 IP。
我对此做了一个防火墙策略:当 source:all 和 dest:VIP_OPENVPN 时,接受任何从 WAN_external 到任何协议 openvpn (tcp+ud^1194)
我可能做错了什么?请注意,该设置适用于 LAN。
谢谢你。
我正在尝试让软件开关配置在 Fortigate 100D 上工作。看起来插入软件交换机端口的设备可以相互通信,但它们无法访问为同一子网上的 Fortigate 的软件交换机“接口”配置的 IP。相反,fortigate 命令行无法 ping 或访问插入软交换机的系统。
请注意,软件交换机是使用 fortigate 文档和支持团队直接提供的说明配置的。文档中或支持人员没有说明该功能在启用时在运行时无法正常工作。请参阅下面的解决方案,了解我们在使用 fortinet 支持进行了一个多小时的运行时故障排除后提出的解决方案。
在这种情况下使用软切换功能的原因是在与某些强化有线客户端相同的子网上拥有 capwap wifi“接口”。
我正在寻求 ServerFault 专家社区的支持,看看其他网络工程师是否已经看到了这个问题并找到了解决方案。问题发布后,我们继续与 Fortinet 支持人员合作解决该问题,并找到了解决方案。我仍然认为这是 ServerFault 的一个有价值的问题,因为设备没有按照 FortiGate 文档和 Fortinet 支持团队中提供的说明运行。