Toon posts:

Meerdere mailservers achter firewall, portforwarding of DMZ?

Pagina: 1
Acties:

maandag 25 juli 2005 20:51

Acties:

Verwijderd

Topicstarter
Hallo,

Ik hoor graag jullie advies voor de volgende firewallkwestie. De setup:
- één internetconnectie
- een intern LAN met een aantal client/servers die naar internet moeten kunnen
- een aantal mailservers (aparte machines die mail voor aparte domeinen afhandelen, eigen hostname, eigen publiek IP)
Deze setup is een gegeven, ik kan er niets aan wijzigen.

Nu vraag ik me af, kan ik beter:
- alle mailservers in één DMZ bij elkaar zetten (dus 3e interface op firewalldoos, apart subnetje voor de publieke IPs van de mailservers)
- *alle* machines in één segment bij elkaar, alle publieke IP's van de mailservers op de external interface van de firewall configureren en dan alles gaan portforwarden naar de private IP's van de mailservers

Wat raden jullie aan?

Groeten, alvast dank, Jesse

maandag 25 juli 2005 20:54

Acties:

Verwijderd

Geen van allen.

Je kunt een firewall ook een heel segment laten firewallen. Dus gewoon het segment waarin al je publieke IP's zitten laten firewallen en dan 1 publiek IP gebruiken voor 'de rest van het netwerk'.

Dus geen 3e interface op de firewalldoos. Gewoon
code:
1
2

Internet  --> firewall --> client PC's.
              firewall --> servers


Dit lijkt alsof er sprake is van 3 interfaces, maar dat hoeft (dus) niet.

[ Voor 24% gewijzigd door Verwijderd op 25-07-2005 20:55 ]

maandag 25 juli 2005 20:59

Acties:

Verwijderd

Topicstarter
Wow da's snel!
Wat jij suggereert is dus de setup van de DMZ, maar dan niet met een aparte (fysieke) interface, dat kan natuurlijk ook ja. Correct me if I'm wrong, maar dan heb ik een apart subnetje publieke IP's nodig naast het subnetje dat ik nu heb voor mijn internetconnectie?
Dus:
code:
1
2

[publiek net1] ---> [firewall] ---> [private net]
                               |--> [publiek net2]

[ Voor 28% gewijzigd door Verwijderd op 25-07-2005 21:06 ]

maandag 25 juli 2005 21:11

Acties:

Verwijderd

Verwijderd schreef op maandag 25 juli 2005 @ 20:59:
Wow da's snel!
Wat jij suggereert is dus de setup van de DMZ, maar dan niet met een aparte (fysieke) interface, dat kan natuurlijk ook ja. Correct me if I'm wrong, maar dan heb ik een apart subnetje publieke IP's nodig naast het subnetje dat ik nu heb voor mijn internetconnectie?
Nee dat hoeft niet. Ik bedoel zoiets:

code:
1
2
3
4

---> firewall extern: internet-ip1, intern: 10.0.0.1 ---> client stations (10.0.0.22 t/m 10.0.0.254)
                                                     ---> server1 (internet-ip2)
                                                     ---> server2 (internet-ip3)
enz

[ Voor 7% gewijzigd door Verwijderd op 25-07-2005 21:12 ]

maandag 25 juli 2005 21:25

Acties:

Verwijderd

Topicstarter
Damn, ik net een hele post getypt en toen zag ik het licht :>
Ga dit morgen even testen, alvast bedankt voor je hulp & geduld!

Eén opmerking nog bij jouw setup: als mijn firewall intern een private IP heeft en ik geef de mailservers een publiek IP, dan gaat dat toch niet werken (hosts zitten in verschillende subnets), of klets ik nou? Of geef ik de mailservers dan zowel een intern als een extern IP?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

      [internet]
          |
          |
          | 213.51.29.1
     ------------
     | firewall |
     ------------
          | 10.0.0.1
          |
 --------------------
 |      |       |    
PC1    PC2      mail1
10.0.0.2 10.0.0.3   213.51.29.2


Hier kan PC1 en PC2 wel met de firewall praten, maar mail1 niet!

[ Voor 172% gewijzigd door Verwijderd op 25-07-2005 21:32 ]

maandag 25 juli 2005 23:59

Acties:
  • Abom
  • Registratie: September 2000
  • Laatst online: 20:45

Abom

Even alleen over je laatste vraag: je geeft je mailserver alleen een intern IP adres en laat vervolgens je firewall het externe IP adres doorzetten naar het interne IP van je mailserver (en waarschijnlijk andersom).

Ik heb even de rest van de thread gelezen, volgens mij is Hezik's laatst oplossing niet mogelijk. De servers met de publieke IP adressen hebben geen mogelijkheid om bij je firewall te komen volgens mij.

[ Voor 43% gewijzigd door Abom op 26-07-2005 00:05 ]

dinsdag 26 juli 2005 00:09

Acties:
  • RedRose
  • Registratie: Juni 2001
  • Niet online

RedRose

Icebear

Welke firewall gebruik je? Het lokale netwerk moet gebruik maken van die mailservers om mail te kunnen relayen? Dan zal je op je firewall dat verkeer moeten DNATten.

Sundown Circus

dinsdag 26 juli 2005 00:19

Acties:
  • DaRealRenzel
  • Registratie: November 2000
  • Laatst online: 04-05 23:59

DaRealRenzel

Overtuigd Dipsomaan

Zoals Redrose al zegt, ligt er helemaal aan welke capaciteiten je Firewall heeft. Bij een beetje goede Firewall kan je alle private IP adressen op de externe interface definieren, maar die netjes door-routeren naar een interne interface of zelfs een VLAN. Dan zal je Firewall zelf op de externe interface bijv. op adres 59.1 spreken, en alle mailservers op adressen 2 t/m 15 (bij een blokje van 16 IP's). Data lijkt dan vanaf de Firewall interface te komen. Je publieke IP's worden gewoon op adres 59.1 ge-NAT. Een separate interface voor je mailservers is wel zo handig om ook beter de firewall rules te kunnen scheiden (bijv. alleen inbound traffic op een bestaand IP en alleen op port 25 of zo)
Dit red je echter niet met een Lynksys of Netgear of Sweex firewalletje. Kijk eens naar een goede Cisco PIX (506 of 515) daarmee kan je al veel meer.

[ Voor 11% gewijzigd door DaRealRenzel op 26-07-2005 00:20 ]

Nothing is a problem once you've debugged the code

dinsdag 26 juli 2005 07:06

Acties:
  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 20:33

StevenK

Mijn idee zou zijn, als dat mogelijk is, er een extra SMTP-doos tussen te zetten. Daarop kun je dan iig op één plaats je relaying en alles regelen, met eventueel ook virus- en spamscanning.

[ Voor 7% gewijzigd door StevenK op 26-07-2005 07:09 ]

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

dinsdag 26 juli 2005 10:41

Acties:

Verwijderd

StevenK schreef op dinsdag 26 juli 2005 @ 07:06:
Mijn idee zou zijn, als dat mogelijk is, er een extra SMTP-doos tussen te zetten. Daarop kun je dan iig op één plaats je relaying en alles regelen, met eventueel ook virus- en spamscanning.
en die in een dmz zetten, dan heb je ook geen verkeer direct naar je interne netwerk.

dinsdag 26 juli 2005 10:41

Acties:
  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 20:33

StevenK

Verwijderd schreef op dinsdag 26 juli 2005 @ 10:41:
[...]


en die in een dmz zetten, dan heb je ook geen verkeer direct naar je interne netwerk.
Pcies.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

dinsdag 26 juli 2005 11:41

Acties:

Verwijderd

Topicstarter
Ok, even wat extra details: er staat nu een PIX501 (DMZ kan niet dus, las ik elders), maar dat vind ik een bitch om te configureren. Heb er nu een Fedoradoos tussen gezet en wil inderdaad met DNAT de boel gaan regelen (alle publieke IP's aan de externe interface binden en dan portforwarden).
Daar wat mee gespeeld vanochtend, maar het port forwarden wil nog niet echt lukken.

Even beginnen met 1 server tegelijk, die wil ik voor smtp toegankelijk maken, dus ik dacht:
fw externe if: 213.x.x.64 [eth1]
fw interne if: 192.168.0.1 [eth0]
mailserver: 192.168.0.100
code:
1
2

iptables -t nat -A PREROUTING -p tcp -i eth1 -d 213.x.x.64 --dport 25 -j DNAT --to 192.168.0.100:25
iptables -A FORWARD -p tcp -i eth1 -d 192.168.0.100 --dport 25 -j ACCEPT

Maar dat werkt dus niet bij mij...

dinsdag 26 juli 2005 12:16

Acties:

Verwijderd

Verwijderd schreef op dinsdag 26 juli 2005 @ 11:41:
Ok, even wat extra details: er staat nu een PIX501 (DMZ kan niet dus, las ik elders), maar dat vind ik een bitch om te configureren. Heb er nu een Fedoradoos tussen gezet en wil inderdaad met DNAT de boel gaan regelen (alle publieke IP's aan de externe interface binden en dan portforwarden).
Daar wat mee gespeeld vanochtend, maar het port forwarden wil nog niet echt lukken.
Je moet ook geen poorten forwarden, dat is gerommel voor niets. Gewoon de machines hun eigen IP adres geven. Daarnast zou ik die fedoradoos er tussenuit halen, je hebt nota bene een PIX501 staan, die kan alles wat je wil. Op de cisco site staan werkelijk tientallen voorbeelden van configuraties zoals jij in gedachten hebt,

dinsdag 26 juli 2005 12:23

Acties:

Verwijderd

Topicstarter
Hier help je me niet mee! Ik wil net van die 501 af (Cisco-site al uitgebreid bezocht, maar het wordt niks met mij en de PIX denk ik) en waarom zou ik hele IP's forwarden als ik maar 1 poort (25) nodig heb? Ik ga niet meer open zetten dan strikt noodzakelijk. Functioneel moet dit even goed gaan.

dinsdag 26 juli 2005 12:27

Acties:

Verwijderd

Verwijderd schreef op dinsdag 26 juli 2005 @ 12:23:
Hier help je me niet mee! Ik wil net van die 501 af (Cisco-site al uitgebreid bezocht, maar het wordt niks met mij en de PIX denk ik) en waarom zou ik hele IP's forwarden als ik maar 1 poort (25) nodig heb? Ik ga niet meer open zetten dan strikt noodzakelijk. Functioneel moet dit even goed gaan.
je wilt toch een dmz, dan zeker die pix niet weg doen :)

inet
|
pix
|
-dmz met mailrelay (evt proxy, dns etc)
|
fedora
|
interne netwerk.

dinsdag 26 juli 2005 12:52

Acties:

Verwijderd

Topicstarter
Heb het al aan de praat, iptables rules klopten wel, maar volgorde (aargh killing) was niet goed ivm andere rules die er al in zaten....

Iedereen bedankt voor de hulp & ideeen

[ Voor 14% gewijzigd door Verwijderd op 26-07-2005 13:26 ]

Pagina: 1
Reageer