Estou usando o VMware ESXi para criar uma rede com um domínio de teste executando o Exchange 2007.

Estou usando o pfSense como firewall entre minha rede física (que estou usando como WAN) e a rede interna da VM (que não está conectada às portas físicas), que é a LAN do domínio de teste.

Tudo está funcionando bem. A LAN está usando 192.168.1.xendereços e eu estou roteando tráfego através da nossa rede, que é192.168.62.x

Agora, os usuários da nossa rede estão recebendo alertas de segurança no Outlook para o servidor Exchange de teste (atualmente eles são exibidos como mail.contoso.com porque eu não configurei o Exchange).

Preciso de acesso externo a este domínio de teste para poder provar técnicas de failover, mas gostaria de bloquear os outros usuários da rede que estão vendo o domínio.

Atualmente, também posso executar o ping no firewall e nos servidores da nossa 62.xrede pelas minhas VMs (não é um problema, mas seria bom se elas estivessem bloqueadas uma da outra).

Quais regras posso definir no pfSense para evitar isso?

Controlador de domínio

LDAP (389/3268 TCP/UDP), Kerberos (88 TCP/UDP), DNS (53 TCP/UDP), RPC netlogon (135 TCP)

Servidor de Transporte de Hub do Exchange 2007

SMTP (25/587 TCP) SSL

Servidor de caixa de correio do Exchange 2007

 RPC MAPI (135 TCP)

Servidores de retransmissão SMTP (em uma rede de perímetro)

 SMTP (25,995 SMTP TLS)

Servidor de Unificação de Mensagens do Exchange 2007

 SMTP (25,995 SMTP TLS)

Servidor de caixa de correio do Exchange 2007

 RPC MAPI (135 TCP), many dynamic*

Servidor de Unificação de Mensagens do Exchange 2007

 VoIP (TCP 5060,5061 SSL,5065,5066)

Pastas públicas (hospedadas por um servidor de Caixa de Correio do Exchange 2007)

 RPC MAPI (135 TCP)

Pastas públicas (hospedadas por um servidor de Caixa de Correio do Exchange 2007)

 RPC MAPI (135 TCP), many dynamic*

Servidor de Acesso para Cliente do Exchange 2007

 80/443 TCP SSL

Cliente do Outlook 2003

 RPC over HTTP (80/443 TCP)

Cliente do Outlook 2007

 RPC over HTTP (80/443 TCP)

Outros clientes (POP3 / SMTP / IMAP4)

 POP3 (110/995 TCP), IMAP (143/993 TCP), see too 995 SMTP TLS

/

* By default, "many dynamic ports" is the port range 1024-65535.

Compreendendo as portas usadas pelo Exchange 2007 em um ambiente misto

Pode mudar, se configurar a porta do intervalo RPC:

Configure a porta do intervalo RPC na estação de trabalho do servidor e dos clientes!

Como configurar a alocação de porta dinâmica RPC para trabalhar com firewalls

Adicional:

Restringindo o tráfego de replicação do Active Directory e o tráfego RPC do cliente para uma porta específica

Configurando portas do controlador de domínio Replicação do Windows 2000/2003 por meio de um firewall

Para testar foram mais significativos, use estas maravilhosas revistas e jornais gratuitos de Arquitetura:

The Architecture Journal

Centro de Arquitetura MSDN

Blog de Arquitetura

Centro de Download da Microsoft: Arquitetura

Centro de Download da Microsoft: Diagramas de arquitetura

Centro de Download da Microsoft: poster da arquitetura

Bem, pegue alguns materiais mágicos do Microsoft Airlift.

pfSense:

Adicionando regras com easyrule

pfSense: Configurando regras de NAT e firewall

Exemplo de configuração básica

pfSense: comandos importantes da CLI