Я полагаю, что необходимо будет установить mynetworks_style
, mynetworks
, и relay_domains
настройки в Постфиксном конфигурационном файле. В основном первые два управляют, какой Постфикс серверов примет почту от, и последние средства управления, к каким серверам это перешлет почту. Точные настройки зависят от того, как Вы хотите свой настроенный почтовый сервер (т.е. кто разрешен послать электронные письма через сервер), но в целом relay_domains
должен быть установлен только на имена хостов самого почтового сервера (то же как mydestinations
) и mynetworks_style
может быть установлен на host
что означает, только принимают электронные письма от самого локального хоста.
Существуют некоторые тесты, перечисленные по http://articles.slicehost.com/2008/8/7/postfix-checking-for-an-open-relay, который можно использовать для проверки, выполняет ли сервер открытое реле. (Некоторые ссылки могут быть мертвыми, но я вполне уверен по крайней мере один все еще, работы... не помнят который хотя),
Вот выборка от Постфиксной конфигурации моего сервера:
luser_relay = mydestination = $myhostname, $mydomain, localhost, localhost.$mydomain mynetworks = 127.0.0.1/32 [server's IP address]/32 mynetworks_style = host myorigin = $mydomain relay_domains = $mydestination smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, check_policy_service unix:private/postgrey, check_policy_service unix:private/policyd-spf, reject_rbl_client sbl-xbl.spamhaus.org
Корректный ответ должен создать петлевой интерфейс. Когда ничто не включается в LAN bgroup, интерфейс идет "вниз", и все маршруты, связанные с ним, удалены из таблицы маршрутизации. Это - поведение, которое Вы хотите, на самом деле, поскольку оно помогает при использовании основанного на маршруте избыточного VPNs - это - единственный путь к устройству, чтобы знать, "что туннель снижается, и я должен теперь направить к здесь".
Хорошо, поэтому то, что Вы делаете:
Теперь можно управлять единицей с помощью того петлевого IP-адреса, который будет всегда оставаться достижимым; и Вы не должны были вырезать дополнительное адресное пространство, чтобы сделать это.
Обеспечение, что туннель остается, является совершенно другим беспокойством. В ScreenOS это может быть выполнено с "монитором, повторно вводят" опцию (и "оптимизированный" в придачу, если Вы хотите, с определенным целевым IP и исходным портом, если внешняя сторона не является дающей отклик на ping-запрос, и возможно с интервалом 5 вместо 1, если строки Вы переходите, жилой ISPs). Это не имеет никакого отношения к способности справиться, как бы то ни было. Это может дать Вам хороший признак и заблаговременное предупреждение отказа VPN при конфигурировании сервера, который получает журналы и отсылает уведомления штату по "VPN Вниз". Это также имеет риск создания Вашего VPNs "откидная створка", если Вы неправильно конфигурируете - то есть, если адрес, который проверяет с помощью ping-запросов Монитор, не может, на самом деле, быть проверен с помощью ping-запросов, или если интервал слишком агрессивен по качеству / задержка Вашего соединения (соединений) ISP. Это может быть обработано, например, проверение с помощью ping-запросов сказало что петлевой адрес через туннель: Вы не будете полагаться на внешний адрес, являющийся достижимым для проверки с помощью ping-запросов.
Попытайтесь создать петлевой интерфейс и подключить туннель к этому.
Если это - основанный на политике туннель VPN, и все клиенты снижаются, то не может быть достаточного 'интересного' трафика для продолжения туннеля. Может быть таймер для расширения (возможно, до бесконечности) этого тайм-аута для предотвращения этого.
Ну, не зная очень о Вашей установке (было бы хорошо знать, является ли это маршрут по сравнению с базирующейся политикой, и т.д.) необходимо иметь в виду, что ScreenOS обычно требует, чтобы трафик, направленный или переданный политикой в туннель, инициировал туннель или продолжил туннель. Так, если у Вас не будет трафика, входящего в туннель, то туннель не не ляжет спать. Это походит на Вашу проблему. Однако существует несколько параметров командной строки для тонкой настройки способа, которым ведут себя туннели. Попробуйте Главу 10 в Поваренной книге Oreilly ScreenOS или загрузке ScreenOS "Понятия и Руководство В качестве примера". Это - довольно значительный PDF, доступный с веб-сайта Juniper, но он также разбит в несколько объемов. Попытайтесь смотреть на объем 5: Виртуальные частные сети, Усовершенствованные Функции Виртуальной частной сети. Обратите определенное внимание на опцию, названную "Контроль VPN", использование "установило монитор vpn, повторно вводят", должен помочь сохранить туннель активным в различных случаях, но убедиться читать. Кроме того, если Вы хотите пойти немного дальше, Вы могли бы исследовать DPD (Обнаружение недоступных узлов) на более новых версиях кода.
Я не думаю, что Вы можете. Интерфейс IP является иждивенцем на физическом интерфейсе (или bgroup) из-за таблицы маршрутизации. Таким образом, если физический интерфейс снижается, маршрутизатор предполагает, что вся сеть, включая себя, недостижима.
На Вашей установке Фазы 2 для VPN (AutoKey IKE) нажмите на кнопку Advanced и затем включите (проверяют) Монитор VPN и Повторно вводят. Это откроет туннель, если ключи истекут или если соединение отбрасывает по некоторым причинам. Мы используем это для наших удаленных пользователей, которые часто выключают все подключенное оборудование. Таким образом, у нас все еще есть способность достигнуть удаленного Netscreen, даже если нет никакого трафика в VPN.