Настройки IP Juniper SSG20 для почтового сервера

У нас есть 5 доступных внешних статических IP-адресов, арендованных нашим интернет-провайдером: от .49 до .53, где

.49 назначен межсетевому экрану Juniper SSG20 и преобразован через NAT для 172.16.10.0/24
.50 назначается окну Windows для веб-сервера и контроллера домена
.51 назначен другому окну с сервером обмена (домен: mycompany1.com). Запись mx указывает на 20x.xx.xxx.51

В настоящее время существует политика, установленная для всего входящего трафика SMTP, адресованного на .51, на NAT-адрес блока сервера обмена (частный IP: 172.16.10.194).

Мы можем отправлять и получать электронные письма как для внутренних, так и для внешних, но Gmail сообщает, что письма с mycomany1.com не отправляются с того же IP-адреса, что и поиск mx, но с 20x.xx.xxx.49:

    Received-SPF: neutral (google.com: 20x.xx.xxx.49 is neither permitted nor denied by
    best guess record for domain of codemonkie@mycomapny1.com) client-ip=20x.xx.xxx.49;

    Authentication-Results: mx.google.com; spf=neutral (google.com: 20x.xx.xxx.49 is 
    neither permitted nor denied by best guess record for domain of    
    codemonkie@mycomapny1.com) smtp.mail=codemonkie@mycomapny1.com

и запись mx в глобальном пространстве DNS, а также в контроллере домена .50 для mail.mycompany1.com установлена на 20x.xx.xxx.51

Моя попытка решить вышеуказанную проблему заключается в том, чтобы

Обновите запись mx с 20x.xx.xxx.51 до 20x.xx.xxx.49
Создайте новый виртуальный IP-адрес для SMTP-трафика, адресованного 20x.xx.xxx.49, для пересылки на 172.16.10.194

После моих изменений входящая электронная почта перестала работать, я считаю, что это как-то связано с настройкой Juniper, что SMTP, адресованный на .49, не пересылается на 172.16.10.194

Кроме того, мне было интересно, обязательно ли назначать внешний статический IP-адрес брандмауэру Juniper?

Любая помощь приветствуется.

TIA

Да, вам нужен общедоступный адрес с возможностью маршрутизации для внешнего интерфейса вашего брандмауэра. Ваша реальная проблема заключается в том, что вы выполняете входящий NAT назначения с помощью виртуальных IP-адресов и полагаетесь на исходный NAT по умолчанию для исходящего трафика. Из-за этого кажется, что весь трафик идет с адреса брандмауэра.

То, что вам ДЕЙСТВИТЕЛЬНО нужно, - это как NAT назначения для входящего трафика, так и NAT источника для исходящего трафика, также известный как статический NAT или NAT 1-к-1.

Что вам нужно сделать, так это создать MIP. Перейдите к интерфейсам, нажмите «Изменить» на внешнем интерфейсе, перейдите на вкладку MIP и создайте запись, отображающую этот внешний адрес (51) на почтовый сервер.

Следуйте этой статье: http://kb.juniper.net/InfoCenter/index?page=content&id=KB4739

Теперь ... это может стать немного сложнее, если, скажем, вам нужен один внешний IP-адрес для работы с двумя разными хостами. Допустим, для .51 вы собирались перенаправить 80/443 на сервер обмена CAS, а SMTP на транспортный сервер. В этом случае вам нужно будет установить явные правила для преобразования адресов назначения и источника.