*gelöst* SMTP von Grün nach Rot auf eine IP beschränken

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • *gelöst* SMTP von Grün nach Rot auf eine IP beschränken

    Hallo zusammen,

    ich habe folgendes Problem, von dem ich hoffe das Ihr evtl. eine Lösung dazu habt.

    in unserem Netz nutze ich Endian 2.4 als Internetgate für SMTP. Dazu ist der SMTP-Proxy sowohl rot als auch grün aktiv. Im grünen Netz ist ein Exchange 2010 im Einsatz, der den Mailverkehr dort intern sowie extern bearbeiten soll.

    Für eingehende Domains wurde die IP des Exchangeservers hinterlegt, und dieser bekommt auch die Mails, die an die hinterlegten Domains gehen. MX-Einträge sind ebenfalls für die eingehenden Domains konfiguriert.
    Insoweit ist also eingehend alles in trockenen Tüchern.

    Allerdings ist bei uns die Vorgabe das ausgehende Mails zwingend über den Exchangeserver gehen müssen! Im Moment nimmt Endian aber aus dem grünen Netz auch Mails die ich via Telnet direkt beim Endian Postfix anliefere an und versendet die auch. Das soll er nicht tun. Gibt es hier die Möglichkeit das zu unterbinden, so das nur der Exchangeserver die ausgehenden Mails anliefern darf?

    Ich hoffe das ich mein Problem irgendwie rübergebracht habe. Falls noch Fragen sind, einfach fragen ;)

    Gruß Ralf

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von GWADM ()

  • Re: Exchange 2010 an Endian authentifizieren

    Danke für den Hint.

    Ich habe jetzt mal die bestehende ausgehende SMTP Regel von Rot auf die IP des Exchange-Servers gesetzt,
    In der Routingtable sieht es jetzt so aus:

    # Quelle Ziel Dienst Richtlinie Anmerkung Aktionen
    1 IPMailSvr ROT TCP/25 GESTATTEN mit IPS SMTP

    SMTP-Proxy grün auf inaktiv gesetzt.

    Ich bin gerade am Testen, obs so tut.

    So jetzt tritt folgendes Problem auf:

    Der EndianPostfix ist nun auch vom Exchangeserver nicht mehr zu erreichen. Mails gehen zwar immer noch rein, aber keine Mails, auch die gewünschten mehr raus. So ganz klappts so leider nicht.

    Den Proxy hab ich jetzt temporär mal wieder eingeschaltet. Das damit der IPTable-Eintrag hinfällig wird ist mir bewusst.
    Vorher habe ich auch noch den IPTable Eintrag durch die IP der Endian zusätzlich zum Exchange ergänzt, aber auch das hatte nicht geholfen :(
    Nach dem wieder einschalten vom Proxy gingen die Testmails auch, wie erwartet raus. Das ging mit Proxy auf inaktiv leider nicht. Jedoch geht jetzt auch wieder der Postfixzugriff von allen IPs aus dem grünen Netz.
  • Re: Exchange 2010 an Endian authentifizieren

    Ganz so einfach, wie ich im ersten Moment dachte scheint es nicht zu sein.

    Zwischenzeitlich bin ich soweit die Main.cf von Postfix anzupassen.

    Jetzt passiert aber folgendes:
    Kaum hab ich in Putty eine Änderung an der Main.cf durchgeführt, diese gespeichert und starte die Firewall via init 6 neu, ist die Änderung verschwunden.

    Schreibt Endian die Main.cf bei jedem Neustart neu?

    Langsam lässt mich das Problem das Endian lediglich von einer einzige IP-Adresse im grünen Netz ausgehende Mails annehmen soll nimmer los.
  • Re: SMTP von Grün nach Rot auf eine IP beschränken - wie?

    Wenn Du mir noch verrätst was Du unter einer Systemrule verstehst? Den eine Firewallregel für ausgehenden Datenverkehr mit den Settings
    # Quelle Ziel Dienst Richtlinie Anmerkung
    1 1Mailserver1 ROT TCP/25 GESTATTEN mit IPS SMTP

    besteht ja. Nur die greift nicht durch den aktiven SMTP Proxy auf den Schnittstellen.

    Aktiviere SMTP Proxy
    ja

    GRÜN ROT
    transparenter Modus aktiv

    Sobald ich den bei grün auf inaktiv setze, dann schickt die Firewall absolut nix mehr via SMTP, dann lässt sich auch Postfix nimmer ansprechen. Problem ist dann nur, das absolut nix mehr auch die gewünschten Mails betrifft.

    Daher bin ich ja schon soweit direkt in den Postfix-Settings die akzeptierten Adressen ändern zu wollen. Hier setzt Endian aber nach einem Reboot die Settings wieder zurück. Das Problem hatte ich ja hier im Forum in einer anderen Gruppe bereits berichtet. Den Tipp mit der tmpl Datei werde ich heute ausprobieren. Vielleicht haben sich dann die Probleme ja erledigt.

    Wo finde ich aber die Systemrules?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von GWADM ()

  • Re: SMTP von Grün nach Rot auf eine IP beschränken - wie?

    Danke schön, hab sie gefunden.
    Hier scheint auch tatsächlich das Probleme zu liegen. Bei den Systemdiensten ist folgender Eintrag mit aufgeführt
    # Quelladresse Quellschnittstelle Dienst Richtlinie Anmerkung
    8 <ALLE> GRÜN TCP/25 GESTATTEN Dienst (SMTPD)
    VPN ALLE
    9 <ALLE> ROT TCP/25 GESTATTEN Dienst (SMTPD)

    Diese Standardeinträge lassen sich jedoch nicht über das GUI ändern. Weisst Du wo diese hinterlegt sind?

    Hinzugefügt habe ich gerade folgende Regel:

    # Quelladresse Quellschnittstelle Dienst Richtlinie Anmerkung Aktionen
    1 1Mailserver1 GRÜN TCP/25 GESTATTEN mit IPS

    Wie ich befürchtet habe, kollidiert die aber mit dem Systemstandard und es ist immer noch möglich durch andere Systeme im Netz Mails via Endian-Postfix zu versenden. Ich müsste den Systemeintrag also bearbeiten.
  • *Gelöst* SMTP von Grün nach Rot auf eine IP beschränken - w

    Heureka!

    Nach etlichen Irrwegen, Shelloperationen und sonstigem Rumgesuche war es am Schluß einfach.
    Beim letzen Versuch hatte ich ja die Regel, das nur mein Mailserver am Port 25 versenden darf eingerichtet.

    >Hinzugefügt habe ich gerade folgende Regel:
    >
    ># Quelladresse Quellschnittstelle Dienst Richtlinie Anmerkung Aktionen
    >1 1Mailserver1 GRÜN TCP/25 GESTATTEN mit IPS

    Allerdings gab es dann in den tieferen Systemregeln ja noch den Eintrag:

    8 <ALLE> GRÜN TCP/25 GESTATTEN Dienst (SMTPD)
    VPN ALLE
    9 <ALLE> ROT TCP/25 GESTATTEN Dienst (SMTPD)

    Der in der Systemregel 8 allen Rechnern im grünen Netz erlaubt via Port 25 zu senden. Damit war via Telnet Postfix noch immer zu erreichen.
    Die Systemregel 9, für die eingehenden Mails ist ja ok.

    Was ich nicht beachtet hatte, IPTables wird als Chain ausgeführt, und die Kette durchläuft ein Paket nur solange bis eine Regel passt. Was also fehlte war eine Regel die einfach alle Pakete verwirft die nicht vorher berechtigt wurden.

    Also einfach die erste Regel durch eine zweite ergänzt. Jetzt sieht das so aus:


    # Quelladresse Quellschnittstelle Dienst Richtlinie Anmerkung Aktionen
    1 1Mailserver1 GRÜN TCP/25 GESTATTEN mit IPS
    2 1Inneresnetz0/16 GRÜN TCP/25 ABLEHNEN

    Nun wird der Zugriff des Mailservers auf Port 25 gestattet, jedoch jeder Versuch der nicht mit der Mailserver-IP vom inneren Netz kommt unterbunden.

    Erste Tests waren erfolgreich, und es läuft jetzt so wie es gewünscht war. Danke aender an die Tipps die dann zur Lösung geführt haben.
  • Re: Exchange 2010 an Endian authentifizieren

    "GWADM" schrieb:

    Ganz so einfach, wie ich im ersten Moment dachte scheint es nicht zu sein.

    ...
    Schreibt Endian die Main.cf bei jedem Neustart neu?
    ...


    Hallo!

    In der Tat. Die Main.cf bezieht sich bei jedem Neustart auf die Main.cf.tmpl. Ändere die Main.cf.tmpl und die Änderungen werden bei Neustart auch in die Main.cf übernommen.
    Zumindest ist so mein Kenntnisstand (bin aber noch absolut neu in dem Bereich).

    Gruß, Dominik