Toon posts:

Outgoing firewall vraag

Pagina: 1
Acties:

woensdag 3 september 2008 16:18

Acties:

Verwijderd

Topicstarter
Hallo,

Tot mijn spijt niet vaak in het forum, zeker niet om te posten, dus op het moment dat dit verkeerd gepost is, mijn excuus.

Mijn vraag heeft betrekking met mijn server firewall, gebaseerd op cent os.

Wanneer ik IMAP als regel wil doorvoeren, kom ik toch echt op de volgende grote vraag bij mijzelf. Als uitgaande verbinding zou ik moeten instellen dat het protocol TCP/UDP is, destination port is 1024 - 65535 en source port is 143. Dit is bij een uitgaande verbinding. Maar hoe kan dat? Mijn punt is dat de firewall het volgende eist als aanvraag: If protocol is TCP and destination port is 1024 - 65535 and source port is 143 and state of connection is NEW, ESTABLISHED. Hoe kan dat werken? 143 ligt toch lager dan 1024 dus kan die verbinding nooit worden aangemaakt? Of gaat het werken omdat 143 een geregistreerd protocol is en boven 1024 dynamisch?

Alvast bedankt.

woensdag 3 september 2008 16:30

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 11:09

mbaltus

Volgens mij is IMAP alleen 143/TCP. Dus als de IMAP client aan de binnenkant zit en de IMAP server aan de buitenkant, is het volgens mij voldoende om outgoing (destination) 143/TCP open te zetten.

Soms kun je opgeven wat de source poorten zijn van het verkeer, daarmee kun je de veiligheid vergroten. Maar veel verkeer kiest een dynamische poort, waardoor je een hele reeks open zou moeten zetten.

[ Voor 37% gewijzigd door mbaltus op 03-09-2008 16:32 . Reden: typo en aanvulling ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

woensdag 3 september 2008 16:36

Acties:

Verwijderd

Wat is precies de bedoeling? Dat hosts binnen het netwerk verbinding kunnen maken met een IMAP server op het internet? Zo ja dan hoef je idd slechts poort TCP/143 open te zetten.

Mocht je zelf een IMAP server hosten binnen je netwerk dan moet je eens naar volgend document kijken : http://www.cyberciti.biz/...-imap-serverprotocol.html.

[ Voor 37% gewijzigd door Verwijderd op 03-09-2008 16:39 ]

woensdag 3 september 2008 16:46

Acties:

Verwijderd

Topicstarter
Dit is nu precies wat ik bedoel. Als je in dit document gaat kijken, dan zie je dat je de volgende onderstaande actie moet uitvoeren. En ik vraag me dus af waarom ik bij uitgaande verbindingen de destination port zo wijd open moet zetten, plus erbij komend dat hij hoger (1024) ligt dan de source port (143). Zie het vet gedrukte gedeelte.


iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 202.54.1.20 --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 202.54.1.20 --sport 143 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

Waarom die 1024 - 65535 range en niet alleen 143? Ik zie het in al mijn iptable regels terug komen, ook http en pop. Is hier een logische verklaring voor? De imap server bevindt zich inderdaad hier.

woensdag 3 september 2008 17:12

Acties:

Verwijderd

Verwijderd schreef op woensdag 03 september 2008 @ 16:46:
iptables -A OUTPUT -p tcp -s 202.54.1.20 --sport 143 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
IMAP server draait achter port 143 maar je clients kunnen vanaf iedere port connecten. Dus voor INPUT port 143 open en voor OUTPUT van port 143 naar port waar-ie-ook-vandaan-komt.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq