Hallo
ich möchte gerne unseren internen Mailserver vom Internet erreichen.
Ich habe dazu Port 25 via Port-Forwarding verfügbar gemacht.
Anschließend habe ich eine FW Regel, die Port 25 nur von bestimmten Quell IP´s auf meinen Server zulässt.
Leider greift die Regel nicht. Mails werden zugestellt ohne Berücksichtigung der definierten Quell IP´s in der FW Regel. Zum Test habe ich falsche IP´s in der Regel hinterlegt.
Kann das funktionieren, wie ich das eingerichtet habe, oder habe ich einen Denkfehler?
Für Tipps bin ich dankbar.
grüße,
Port-Forwarding mit FW Regel abdecken
Moderator: Lancom-Systems Moderatoren
Hi salva10,
Du kannst auf der Konsole unter /Status/IP-Router/Connection-List nachschauen, welche Regel gematcht hat.
Gruß
Backslash
Prinzipiell funktioniert das so - zumindest solange du in der Firewall auch noch eine Deny-All Regel hast, die alles verbietet, was nicht vorher explizit durch andere Regeln erlaubt wurde. Wenn du keine Deny-All-Regel hast, dann gehen alle Anfragen, mit einer "falschen" Quell-IP an deiner Mail-Regel vorbei und treffen auf die interne Regel "DEFAULT (ACCEPT-ALL)", die sei dann wiederum durchläßt...Kann das funktionieren, wie ich das eingerichtet habe, oder habe ich einen Denkfehler?
Du kannst auf der Konsole unter /Status/IP-Router/Connection-List nachschauen, welche Regel gematcht hat.
Gruß
Backslash
Danke Backslash,
habe ich das so richtig verstanden? Die interne Regel Accept-All greift zuletzt.
Da bringt es auch nichts, wenn ich eine Regel definiere, Block-SMTP und danach wieder gezielt durch eine Regel einen Zugriff für einzelne erlaube.
Dachte eigentlich, dass Accept-All standardmäßig nur in Richtung Internet aktiv ist und nicht Richtung Intranet.
grüße,
habe ich das so richtig verstanden? Die interne Regel Accept-All greift zuletzt.
Da bringt es auch nichts, wenn ich eine Regel definiere, Block-SMTP und danach wieder gezielt durch eine Regel einen Zugriff für einzelne erlaube.
Dachte eigentlich, dass Accept-All standardmäßig nur in Richtung Internet aktiv ist und nicht Richtung Intranet.
grüße,
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Huhu salva10,
im Umkehrschluss würde es dann ja bedeuten, dass nie eine Portweiterleitung funktioniert, solang du für den Port keine Regel hinterlegst. Ist aber nicht so ...
Die Firewall arbeitet von oben (hohe Prio) nach unten (prio 0). Trifft ein Eintrag zu, ist die Firewall abgearbeitet und nachfolgende Regeln (außer angehakt) werden ignoriert.
Beispiel für dein Fall:
Prio3 ALLOW_CLIENTS / Port 25
Prio2 DENY_ALL / Port 25
Prio0 ALLOW ALL, unsichtbar
im Umkehrschluss würde es dann ja bedeuten, dass nie eine Portweiterleitung funktioniert, solang du für den Port keine Regel hinterlegst. Ist aber nicht so ...
Die Firewall arbeitet von oben (hohe Prio) nach unten (prio 0). Trifft ein Eintrag zu, ist die Firewall abgearbeitet und nachfolgende Regeln (außer angehakt) werden ignoriert.
Beispiel für dein Fall:
Prio3 ALLOW_CLIENTS / Port 25
Prio2 DENY_ALL / Port 25
Prio0 ALLOW ALL, unsichtbar