 |
|
|
|
| Autor |
Nachricht |
salva10
Anmeldungsdatum: 22.07.2009
Beiträge: 4
|
 Verfasst am:
Do 21 Okt, 2010 09:27 |
  |
|
Hallo
ich möchte gerne unseren internen Mailserver vom Internet erreichen.
Ich habe dazu Port 25 via Port-Forwarding verfügbar gemacht.
Anschließend habe ich eine FW Regel, die Port 25 nur von bestimmten Quell IP´s auf meinen Server zulässt.
Leider greift die Regel nicht. Mails werden zugestellt ohne Berücksichtigung der definierten Quell IP´s in der FW Regel. Zum Test habe ich falsche IP´s in der Regel hinterlegt.
Kann das funktionieren, wie ich das eingerichtet habe, oder habe ich einen Denkfehler?
Für Tipps bin ich dankbar.
grüße, |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 21 Okt, 2010 12:31 |
|
|
Hi salva10,
| Zitat:
|
|
Kann das funktionieren, wie ich das eingerichtet habe, oder habe ich einen Denkfehler?
|
Prinzipiell funktioniert das so - zumindest solange du in der Firewall auch noch eine Deny-All Regel hast, die alles verbietet, was nicht vorher explizit durch andere Regeln erlaubt wurde. Wenn du keine Deny-All-Regel hast, dann gehen alle Anfragen, mit einer "falschen" Quell-IP an deiner Mail-Regel vorbei und treffen auf die interne Regel "DEFAULT (ACCEPT-ALL)", die sei dann wiederum durchläßt...
Du kannst auf der Konsole unter /Status/IP-Router/Connection-List nachschauen, welche Regel gematcht hat.
Gruß
Backslash |
|
|
|
|
salva10
Anmeldungsdatum: 22.07.2009
Beiträge: 4
|
| Verfasst am:
Do 21 Okt, 2010 13:57 |
|
|
Danke Backslash,
habe ich das so richtig verstanden? Die interne Regel Accept-All greift zuletzt.
Da bringt es auch nichts, wenn ich eine Regel definiere, Block-SMTP und danach wieder gezielt durch eine Regel einen Zugriff für einzelne erlaube.
Dachte eigentlich, dass Accept-All standardmäßig nur in Richtung Internet aktiv ist und nicht Richtung Intranet.
grüße, |
|
|
|
|
Dr.Einstein
Anmeldungsdatum: 12.01.2010
Beiträge: 238
|
| Verfasst am:
Do 21 Okt, 2010 14:46 |
|
|
Huhu salva10,
im Umkehrschluss würde es dann ja bedeuten, dass nie eine Portweiterleitung funktioniert, solang du für den Port keine Regel hinterlegst. Ist aber nicht so ...
Die Firewall arbeitet von oben (hohe Prio) nach unten (prio 0). Trifft ein Eintrag zu, ist die Firewall abgearbeitet und nachfolgende Regeln (außer angehakt) werden ignoriert.
Beispiel für dein Fall:
Prio3 ALLOW_CLIENTS / Port 25
Prio2 DENY_ALL / Port 25
Prio0 ALLOW ALL, unsichtbar |
|
|
|
|
salva10
Anmeldungsdatum: 22.07.2009
Beiträge: 4
|
| Verfasst am:
Do 21 Okt, 2010 16:04 |
|
|
Danke, gut erklärt.
Dann werde ich mich mal an die Arbeit machen. |
|
|
|
|
|
|
|
|
| |
|
|
