Публикация OWA наружу

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Публикация OWA наружу

Непрочитанное сообщение mymymy » 2010-09-18 0:56:11

Есть шлюз на FreeBSD, стоит IPFW, стоит stunnel. Задача такая- опубликовать внутренний MS Exchange, а точнее OWA наружу. Пытался на шлюзе пробрасывать порт на 80ый exchange, но в рузультате получаю не до конца загруженную морду, а точнее страницу с разделительной полосой посередине, в обоих половинах браузер пишет "Попытка соединения не удалась..". Пробывал через stunnel, но там с сертификатами получается беда, это сразу понятно почему. Посоветуйте, может что-то недооткрыл на ipfw ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: Публикация OWA наружу

Непрочитанное сообщение Гость » 2010-09-18 1:11:27

может и не до открыли
а может сильная фрагментация
используйте лучше pf + scrub и проблем быть не должно

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Публикация OWA наружу

Непрочитанное сообщение mymymy » 2010-09-18 1:27:15

не, не нравится мне pf ..

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Публикация OWA наружу

Непрочитанное сообщение hizel » 2010-09-18 2:32:18

use tcpdump
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: Публикация OWA наружу

Непрочитанное сообщение buryanov » 2010-09-18 22:40:46

OWA юзает https, пробрасуйте 443 порт. У меня реализовано так:

Код: Выделить всё

${FwCMD} nat 2000 config ip ${ip_nat33} \
                        redirect_port tcp 10.4.2.86:443 443 \
                        redirect_port tcp 10.4.2.86:143 143 \
                        redirect_port tcp 10.4.2.86:993 993

${FwCMD} add 40100 nat 2000 all from 10.4.2.86 443,143,993 to any via ${ifwan}
143, 993 - для imap юзаю
проблема с сертификатом - это нормально, ваш Exchane и соответственно AD, врядле юзает покупные сертификаты.
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Гость
проходил мимо

Re: Публикация OWA наружу

Непрочитанное сообщение Гость » 2010-09-18 23:03:45

ваши правила ему не помогут - если у него фрагментация
только pf scrub

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Публикация OWA наружу

Непрочитанное сообщение mymymy » 2010-09-21 23:34:40

ситуация такова: если пробрасывать альтернативный порт, например 8910 и 443 на exchange 80 и 443, то -вышеописанная ситуация. Если 80,443->80,443 то все работает. Хотя пробрасываю в обоих случаях с помощью rinetd

Гость
проходил мимо

Re: Публикация OWA наружу

Непрочитанное сообщение Гость » 2010-09-22 12:20:20

если в фаерволи у вас ничего не накручено насчет избирательности портов
то такого не может быть

что 1 +2 = 3
что 2 +1 = 3
без разницы

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Публикация OWA наружу

Непрочитанное сообщение BlackCat » 2010-09-23 7:53:19

mymymy писал(а):ситуация такова: если пробрасывать альтернативный порт, например 8910 и 443 на exchange 80 и 443, то -вышеописанная ситуация. Если 80,443->80,443 то все работает. Хотя пробрасываю в обоих случаях с помощью rinetd
Такой вариант возможен в нескольких случаях.
  • Когда вы делаете проброс 8910->80, то броузер отправляет HTTP-запрос с полем

    Код: Выделить всё

    Host: example.com:8910
    , т.к. для него идёт обращение на порт 8910 и никаких пробросов он не знает. Как отреагирует OWA на подобный запрос я не знаю.
  • Страница с разделительной полосой посередине - это, как я понял, HTML-страница сотоящая из двух фреймов. Их содержимое должно быть подгружено отдельно с использованием URI-адресов из основной страницы. Если эти адреса относительные, то обычно всё проходит успешно, а вот если они абслолютные, то возможны нюансы, т.к. на этот раз OWA ничего не знает о пробросе.
Попробуйте настроить OWA на прослушивание порта 8910 и сделать проброс 8910->8910.
Приведите код страницы, которую успевает загрузить браузер.
И, как вам сразу посоветовали, используйте анализатор трафика - это снимет многие вопросы.

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Публикация OWA наружу

Непрочитанное сообщение mymymy » 2010-09-23 8:24:51

BlackCat, спасибо за совет, все именно так и есть. пробросил с одинакового порта на одинаковый и OWA смог нормально отвечать на запрос

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Публикация OWA наружу

Непрочитанное сообщение BlackCat » 2010-09-23 8:41:01

mymymy писал(а):BlackCat, спасибо за совет, все именно так и есть. пробросил с одинакового порта на одинаковый и OWA смог нормально отвечать на запрос
Да пожалуйста. Если будет свободное время приведите код страницы при пробросе 8910->10 или посмотрите сами - интересно знать, что именно было не так.