台灣最大程式設計社群網站
線上人數
3268
 
會員總數:246323
討論主題:189853
歡迎您免費加入會員
討論區列表 >> 網管 / 資安 / VM >> 請問這樣的架構哪裡出了問題??(windows server 2003)
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
請問這樣的架構哪裡出了問題??(windows server 2003)
價值 : 50 QP  點閱數:2962 回應數:12
樓主

Peter
初學者
40 1
160 11
發送站內信

Client用戶端
===========================
ISP
===========================
||
||59.224.62.51
||
===========================
DI-704UP(IP分享器)
192.168.0.254
利用虛擬伺服器(yes)
 WEB(192.168.0.1)80
 MAIL(192.168.0.2)25/110
IP分享器防火牆(yes)
路由表(no)
DMZ(no)
===========================
考慮學pc軟體防火牆
ISA SERVER 2004好嗎??
(有裝跟沒有裝差異在哪??)
===========================
|| ||
|| ||
|| ||
|| MAIL
|| 192.168.0.2
||
WEB
DNS+IIS
192.168.0.1
DNS==>WEB(59.224.62.51)
DNS==>WEB(192.168.0.1)
DNS==>MX(192.168.0.2)

以上是我的架構,學習中的系統為WINDOWS SERVER 2003
請問當我用web(192.168.0.1)的IIS傳信到MAIL(192.168.0.2),MAIL再把信件寄出去後,
產生了一個問題信件紀錄會記載由:
WEB(192.168.0.1)送到MAIL(192.168.0.2)
再經由MAIL(192.168.0.2)從ISP(59.224.62.51)寄出信給用戶===>

問題來了我曝露了整個機器配置+_+,看過許多郵件的內容都是直接顯示外部郵件ISP(59.224.62.51)位置,DNS查詢也是只出現ISP

(59.224.62.51)。
沒有一個網站DNS查詢會顯示這樣的結果
ISP(59.224.62.51)
web(192.168.0.1)
MAIL(192.168.0.2)

我少設定了哪些項目"IP分享器"還是DNS這跟windows路由及遠端存取有關嗎??
區域網路的IP可以改用如172.10.5.1或10.20.30.1嗎??
ISA SERVER 2004好嗎??(有裝跟沒有裝差異在哪??)

1樓
回應

Sdany
捐贈 VP 給 Sdany 檢舉此回應
> DNS==>WEB(59.224.62.51)
> DNS==>WEB(192.168.0.1)
> DNS==>MX(192.168.0.2)
你應該有一個 domain name 吧
內部跟外部的 domain 要分開
對外的 domain 設定
WEB Mail MX 都指定 59.224.62.51
因為你在 IP 分享器上 已設定 Port 轉向內部
而外部查到 192.168.x.x 是無法連到你的電腦

ip分享器本身就是一道防火牆
pc軟體防火牆,通常是針對單機在防

不能使用 172... 來當區網IP
比較常見的是 192.168.x.x & 10.x.x.x
本篇文章回覆於2006-11-29 13:05
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

Peter
檢舉此回應
您好DNS設定domain name方式如下
DNS==>www.aaa.com(59.224.62.51)
DNS==>www.aaa.com(192.168.0.1)
DNS==>MX(192.168.0.2)
尚有疑問
1.DI-704UP(IP分享器)的LAN 設定==>網域名稱(需要設定嗎)
2.內部跟外部的 domain 要"分開"是指在(IP分享器某功能)
 還是WINDOWS SERVER 2003的DNS(目前只架一個DNS)上需如何內部跟外部的domain設定
3.而2台主機都是用電腦名稱與工作群組非網域
  例如:WEB==>webmaster(電腦名稱)&成員隸屬:工作群組WORKGROUP(非網域)
     MAIL==>mailmaster(電腦名稱)&成員隸屬:工作群組WORKGROUP(非網域)
  如果使用成員隸屬:www.aaa.com(網域),不懂的是當要架設新虛擬網站www.bbb.com & www.ccc.com,
  廣域DNS查詢到的是否為webmaster或www.aaa.com呢??
 如此好像也不對
我是個新手在實作與觀念上應該有不少錯誤*_*...還請各位大大給予糾正

本篇文章回覆於2006-11-29 14:25
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

Sdany
捐贈 VP 給 Sdany 檢舉此回應
你可以參考一下這一篇
http://www.blueshop.com.tw/board/show.asp?subcde=BRD2006092700463514Q&fumcde=
IP分享器的網域名稱,可以不管它

IP分享器上的 Port : 53 應該會要指向 192.168.0.1
而的架設DNS Server,內部不用網域的話,是不影響,可以不用
主要是給外部用的,對外的DNS,
不管是 DNS , WEB , MX , FTP , MX 服務
所有的都指向外部IP(59.224.62.51)
不該有 192.168.x.x 內部 IP 的出現

因為別人找你,是找59.224.62.51,不可能找 192.168.x.x (網際網路上不會有這種IP的服務)
本篇文章回覆於2006-11-29 14:58
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
作者回應

Peter
檢舉此回應
真是高手呀...
我實際上的硬體如下兩條線(內用與外用)
Client用戶端
===========================
     ISP      |
==========================|===============================
     ||對外     |   
     ||59.224.62.51 |      ADSL自用
     ||       |
==========================|===============================
DI-704UP(IP分享器1)    |(IP分享器2)
192.168.0.254       |192.168.2.254
利用虛擬伺服器(yes)   |
 DNS(192.168.0.1)53   |
==>DNS好像不需開     |
 WEB(192.168.0.1)80   |
 MAIL(192.168.0.2)25/110 |
IP分享器防火牆(yes)    |
路由表(no)        |
DMZ(no)          |
===========================|
考慮學pc軟體防火牆    |
ISA SERVER 2004好嗎??  |
(有裝跟沒有裝差異在哪??) |
===========================================================
   ||                ||
   ||                ||
   ||                ||
   ||                MAIL
   ||                192.168.0.2=>對外開放
   ||                192.168.2.2=>對內區域網路
  WEB
  DNS+IIS
  192.168.0.1=>對外開放
  192.168.2.1=>對內區域網路
  DNS==>(MX)mailmaster(192.168.0.2)
  DNS==>父系主機(A)mailmaster(192.168.0.2)
  DNS==>父系主機(A)webmaster(59.224.62.51)
  DNS==>www主機(A)webmaster(59.224.62.51)
  DNS==>www主機(A)webmaster(192.168.2.1)==>必須192.168.2才成進入管理(白痴吧!!)
 
剛試了一下把IP分享器的虛擬伺服器DNS(192.168.0.1)53關閉,網站可連結DNS偵測停在ISP的DNS結果59.224.62.51就不會讀出我內部DNS囉!!
但是當IIS主機送郵件到mail主機,郵件原始檔依然會顯示我真正的192.168.0.x配置路徑,看來需使用外部與內部DNS方式(不敢輕易亂改><),能請Sdany大大指導如何配置才能在對方收到郵件時只顯示ISP(59.224.62.51)對外的IP,查看不少網站的郵件都只顯示網站對外的ISP(IP)路徑寄出,卻不會像我顯示內部虛擬主機從webserver(IP)==>mailserver(IP)==>ISP(IP)所有路徑寄出的方式..我需要學的東西還真不少ㄋ^^"...QQ
本篇文章回覆於2006-11-29 17:40
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
回應

Sdany
捐贈 VP 給 Sdany 檢舉此回應
這是簡單的設定
http://www.wretch.cc/album/show.php?i=jjgg&b=1&f=1335460926&p=0
DNS設定中,不要有 192.168.x.x 的IP

你範的錯誤,是我之前也不懂DNS時亂設定一樣
有時 email server 會連不到,因為外界查EMAIL主機時,
DNS回應的是 192.168.x.x 的IP,導致無法正確連到公司對外的真實IP


還有IP分享器DNS關閉的話,那你架的DNS就完全沒做用了
本篇文章回覆於2006-11-29 19:00
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
作者回應

Peter
檢舉此回應
內部的 domain(192.168.0.x) 設在IP分享器
外部的 domain(59.224.62.x) 設在自己的DNS囉...
ㄍㄥ....原來書上範例都教DNS射192.168.0.x....(應該是內部調適時的方式??)
難怪越看越糊塗*+*...Orz
本篇文章回覆於2006-11-29 22:44
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
7樓
回應

Sdany
捐贈 VP 給 Sdany 檢舉此回應
內部網域名稱隨你高興要用什麼名稱都沒人管得著,
想用tw.yahoo.com 也行啊,只是這樣你會連不到 真正的網站

依#6所說,你那書上教的,是內部網域在使用的沒錯.:

而外部的 domain name 要申請才有得用

重點是你現在的設定是否OK..
還有內部IP的配置
本篇文章回覆於2006-11-29 23:24
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
8樓
作者回應

Peter
檢舉此回應
Sdany大大久等囉!!我忙到剛剛好不容易有空上線...呼∼∼
捐贈的功能是不是直接從VP DONATE那張圖點下去就能給你囉(這是我的第一次歐∼∼哈哈哈...真的ㄋ)
真是太感謝你導正了我滴錯誤觀念...QQ...^^
昨天應該就已經改過來囉...只是由web網頁功能寄信到mail主機的功能還沒有測試
1我以前寄出的郵件原始檔都會顯示web主機(IP)==>mail主機(IP)==>ISP(ip)
 把我的主機位置都給公開囉...是不是就是因為DNS設定錯誤ㄋ,觀看別人的信件原始檔都是他郵件主機對外的IP位置...就我不一樣
2請問以我這樣的情形,就是有一條對外一條對內#4方式
  DNS==>www主機(A)webmaster(192.168.2.1)==>必須192.168.2才成進入管理(白痴吧!!)
 該如何必免www主機(A)webmaster(192.168.2.1)==>內部用的被查詢到,是否需要另架一DNS跟主要DNS還是次要DNS的問題有關係嗎??

本篇文章回覆於2006-11-30 14:20
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
9樓
回應

Sdany
捐贈 VP 給 Sdany 檢舉此回應
如果你認為這篇問題已解決你的問題,
只要在你覺得適合的答案上 按 「接受」 即可(終結此篇發問及回答)

- - - - - - - - - - -
另外,我是不知道你為何要用兩條線路(ISP、ADSL)
而內部區網,也只要一組就可以了,不須要用到兩組IP

[WEB,DNS]這台電腦設定
IP:192.168.0.1
子網路:255.255.255.0
預設閘道:192.168.0.254 (IP分享器上的IP)
DNS:192.168.0.1
次DNS:可不設定

[MAIL]這台電腦設定
IP:192.168.0.2
子網路:255.255.255.0
預設閘道:192.168.0.254 (IP分享器上的IP)
DNS:192.168.0.1
次DNS:可不設定

[自用]這台電腦(本身有ADSL連線)
區域網路 設定
IP:192.168.0.3 (3到253都可)
子網路:255.255.255.0
預設閘道:因為你用ADSL上網,此項不要設定
(也可以設定 192.168.0.254,這台電腦會使用ISP的線路上網)
DNS:192.168.0.1
次DNS:可不設定

關於你的#8問題
1.沒研究,不太了
2.什麼叫「才能進入管理」?不太了

你的DNS現在有哪些設定IP?
本篇文章回覆於2006-11-30 21:27
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
10樓
作者回應

Peter
檢舉此回應
嗨^^!!
其實都是自己想的方式,再去實踐看看結果會是如何...
一條線這兒內部網路已有頻寬的需求使用ADSL浮動IP,考慮一邊學習架站一邊學習系統功能與測試功能..有些情形可能在區域中不會有問題另一方面外部連結時可能會出錯...兩條線正好符合由內由外作測試...
而所謂的管理其實也是自己異想天開而已啦..預設的立場是當我想要架一個網站時..一定會有所謂的管理平台...測試結果必須在相同網域下,否則即使更改網站的功能也無法立即套用到用戶端看到的頁面,所以在管理的登錄頁面的網頁上使用了IP檢查的方式,指定了允許看見管理登錄頁面的IP位置,可為單一也可為群組,不屬於這區段的全部轉出去...我的想法是當我指定了192.168.2.x的位置,我想好奇的人最起碼已被檔在門外...進階者除了想辦法放木馬...不然即使資料庫被盜走並獲得管理帳密(或許是加密碼)...依然必須符合192.168.2.x的檢查在遠端應該難以提供遠端192.168.2.x區域網路的IP...除非自用這條線被駭客囉...用人用我低電腦去控制...我想方法還很多,好像也可以使用IIS虛擬目錄或IP限制的功能保護後台...但都還沒有去嘗試過而已,這是我的笨想法><還想請您指導些正確方式改正我的觀念說^^

我的DNS現在只有WEB&MAIL而已目前都是設為外部的IP囉
本篇文章回覆於2006-12-01 00:26
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
11樓
最有價值解答

Sdany
捐贈 VP 給 Sdany 檢舉此回應
那好像是防火牆的事情
不管是 192.168.0.1 or 192.168.2.1
在 .1 那台電腦上安裝防火牆,把所有的連入連線 Port 全關閉,這樣誰都連不進那台電腦,也找不到

再來就是開放 80 , 53 or 其它的
有的還可以設定 哪個 IP & Port 哪台電腦才能連進來,
我想這應該是 #10 所要的功能吧
本篇文章回覆於2006-12-01 00:52
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
12樓
作者回應

Peter
檢舉此回應
嗨^^
我對各種防火牆所提供的功能還不太了解><,以我所看過的幾乎都是把admin(管理區)的資料夾,與網站其他的功能資料夾擺放一起,所以我也在想如果把admin另外擺放在虛擬目錄中,可能需使用SQL資料庫方式,這樣的可行度(未嘗試不知結果如何)..或許更改名稱但有心人依然會去猜資料夾名稱,而單一IP在我所學中,除了DNS想不出如何讓網頁判斷區別是我還是訪客...所學的東西太少或許有許多好工具,而我卻不知該從何處找...只能相關論壇多看看這樣的傻瓜學習法^^...先結束這個問題好囉!!
感謝大大給予這麼多寶貴意見,我還有些問題會再提問出來,歡迎給予意見...然而QP這東東ㄛ要賺很難...要花會很快><...是不是該減薪比較好∼∼哈哈...意見的價值不是QP所能衡量的...而QP卻是給予解答者的基本肯定
本篇文章回覆於2006-12-01 14:52
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.