第一个问题,请善待!
问题:在谷歌云平台中,他们阻止了端口 25 出站到外部地址的流量。
- 1 个网络服务器需要通过我的公司邮件服务器发送邮件。
- 1 台邮件服务器位于我的 DMZ 内,在防火墙上路由。
- 我的办公室子网和 GCP 本地子网之间的 1 个站点到站点 VPN(在防火墙上)。
到目前为止我所知道的:
所以......在确信我的防火墙存在问题一天之后,结果发现谷歌阻止了出站端口 25、465 和 587。(SMTP 协议端口的所有变体)
在此处找到该块:https ://cloud.google.com/compute/docs/tutorials/sending-mail/
它在此处描述了如何在本地网络之间允许流量但从 Internet 中阻止流量。
现在,我在 GCP 和我的 ASA5520 之间设置了一个站点到站点 VPN,它运行良好,GCP 中有用于我的本地网络的路由,可以通过它进行路由。现在这被认为是“本地网络”的一部分还是仅限于 Google 实例的本地子网?
我想肯定有人在我之前遇到过这个问题,有类似的设置,但我找不到太多。
在对我的实时防火墙进行更改以尝试允许从 VPN 到 DMZ 的流量之前,我想知道是否有人有这方面的经验?
也对如何解决我的问题的其他建议持开放态度......尽管我宁愿不必支付任何费用,或者依赖应用程序和其他服务。
干杯!
在您发送的那个链接中,他们有一个标题为“通过公司邮件服务器发送邮件”的部分。它描述了使用 VPN。因此,您只需中继到 ASA 内部的邮件服务器,Google 流量过滤器甚至不会看到端口号——它们只会看到 ESP 或 UDP/500(ESP over UDP)。
关于一条隧道上的两个子网,我只能与 ASA 谈一谈。我通常创建一个定义两个对象组的单行访问列表,然后只需将对象组定义加载到您需要遍历隧道的子网中。例如:
我用 L2L-xxx-Local/Remote 的说法来显示我的年龄。这就是旧的 3000 VPN 集中器用来定义每一端的方式。:)