Добрый день!

недавно появилась задача поднять почтовый сервер(внешний). у WAN есть свой постоянный белый IP.

Если я правильно понял то подобные сервер рекоменуется поднимать в DMZ.
Тоесть для правильной работы мне необходим еще один белый IP для почтового сервера в dmz?
Также если у меня будут появлятся другие (внешние сервера), то на каждый мне нужно будет запрашивать у провайдера отдельный белый ip ?

Нет. Большинству организаций для работы хватает единственного IP адреса. Главное. чтобы порты, доступные извне были разными. С вами, наверняка, аналогично.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

DMZ с дополнительными белыми IP - идеальный вариант, но он обычно нужен только очень большим организациям или в сложных конфигурациях
Для небольшого случая достаточно либо отдельного серого DMZ, либо даже держать сервер в LAN - оба этих случая не используют дополнительные адреса, все решается SAT (порт маппингом)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сегодня получил второй ip.
белый ip адрес для DMZ.
Пытаюсь настроить dmz по мануалу.
Первй сценарий в мануале похож на то что нужно (единственное различие что в дмз - мэйл сервер с веб интерфейсом и необходимо пробросить други порты.)
_ftp://files.dlink.com.au/products/DFL-800/REV_A/SetupGuides/How_to_configure_SAT(Port_Forwarding)__for_DMZ_server_v2-00.pdf
(подозреваю что в мануале имеется ошибка при пробросе во втором правиле Allow-FTP Action: NAT, возможно должно быть Action: allow?)

Также серверу необходимо проверять(скачивать) различные обновления.
Подскажите какое правило прописать чтобы сервер увидел интернет?

Также пользователи внутри сети должны получать доступ к серверу на локльном адресе (тоесть не через интернеты и белые ip адреса)Как сделать такой проброс?

Прошу ткнуть носом в ман или дать совет.

заранее спасибо.

Есть два белых IP. первый присвоен WAN1, второй для DMZ.

Делаю по инструкции http://dlink.ru/ru/faq/85/481.html

Сканирую снаружи - порты открываются.

С компьютера на который проброшены порты(в DMZ) интернета нет.
Ответы на пинги в логах:

Предупреждение RULE
6000051 Default_Rule ICMP dmz
172.17.100.10
8.8.8.8
ruleset_drop_packet
drop

после добавления правила
dmz_inet NAT dmz dmznet wan1 all-nets all_services

Интернет появляется, но IP адрес, внешний - адрес WAN1
Нужно сделать чтобы внешний адрес, при запросах из DMZ. был адресом DMZ.

Прошу помощи - заранее спасибо.

тут возможно две реализиции/

1. 2 IP на WAN порту

2. На WAN и DMZ свои белые адреса. И тут надо настроить PBR.

А вообще какая общая ваша цель, голубая мечта?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да есть два IP, как раз один для wn и один для сервера в DMZ.
"голубая" мечта в следующем:

Серверное ПО, скрипт запрашивает DNS сервер(не локальный) на предмет имени узла, ответ (A и MX) должен совпадать с записью в hosts файле.

Есть костыли. можно это обойти.
Но по задумке разработчиков сервер должен иметь реальный белый IP интернета.

Это возможно?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Делайте transparent mode между wan и dmz, давайте серверу реальный адрес + провайдерский шлюз и разрешайте нужный трафик

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc