stefaan
15.12.09, 11:25
Servus,
ich hab eine Verständisfrage zur DMZ-Einrichtung.
Situation 1 bei uns im Haus: DMZ mit pfsense (pfsense und die komplette DMZ sind virtualisiert) eingerichtet (einzelne Ports auf die 2 DMZ-Hosts weitergeleitet, ausgehendes NAT auf die beiden externen IPs konfiguriert, jeder Server antwortet mit seiner eigenen externen IP).
Web- und Mailserver laufen seit der Einrichtung der DMZ klaglos wie vorher (wir administrieren alles selbst).
Situation 2 in der Nachbarschule: Hat von einem (größeren) externen Anbieter (für Windows-Server/Clients zuständig, ich für Web- und Mailserver) eine Zywall USG 300 als Router bekommen (~200PCs), an der ebenfalls eine DMZ mit Web- und Mailserver hängt, lief auch lange Zeit ok in der ersten Konfiguration. Irgendwann wurde dort im Rahmen eines neuen Internetanschlusses die Zywall neu konfiguriert (neue IPs, ...) und seither kommen massig Spams durch (ich vermute es ist 1:1 NAT, da alle Ports offen sind). Ich bin der Sache dann einmal nachgegangen und habe festgestellt, dass alle Einlieferungen an Postfix mit "connect from 192.168.4.254" beginnen, also die IP der Zywall am DMZ-Port. Damit waren Blacklists und die Netzwerktest von Amavis auf einmal ziemlich nutzlos.
Auf die Nachfrage, was/wo/wie umgestellt wurde, bekam ich nur die Antwort, dass es nie anders war, "sonst würden die IPs ja gefälscht werden". Der Techniker meinte auch noch, unter Windows muss man eine Einstellung setzen, damit der Server weiß, dass er in einer DMZ steht, dann funktioniere alles, wird wohl unter Linux genauso sein (und überhaupt sind Blacklists/Greylisting böse, als Spam erkannte Mails lösche man gleich serverseitig, bei false positives habe man halt Pech gehabt).
Mit alten Logs und einem Verweis auf unsere Installation (selbst mein Linksys zu Hause macht das bei Portforwarding so) konnte ich ihnen allerdings das Gegenteil beweisen, seither keine Reaktion mehr.
Kann mir irgendwer die Sache mit den Source-IPs bei NAT erklären, der sich ev. auch mit der Konfiguration einer Zywall auskennt? Für mich ist das Ding eine Blackbox, ich kenne keine Konfigurationseinstellungen davon und kann auch selbst nichts ändern.
Wo liegt hier der Hund begraben?
Danke!
Grüße, Stefan
ich hab eine Verständisfrage zur DMZ-Einrichtung.
Situation 1 bei uns im Haus: DMZ mit pfsense (pfsense und die komplette DMZ sind virtualisiert) eingerichtet (einzelne Ports auf die 2 DMZ-Hosts weitergeleitet, ausgehendes NAT auf die beiden externen IPs konfiguriert, jeder Server antwortet mit seiner eigenen externen IP).
Web- und Mailserver laufen seit der Einrichtung der DMZ klaglos wie vorher (wir administrieren alles selbst).
Situation 2 in der Nachbarschule: Hat von einem (größeren) externen Anbieter (für Windows-Server/Clients zuständig, ich für Web- und Mailserver) eine Zywall USG 300 als Router bekommen (~200PCs), an der ebenfalls eine DMZ mit Web- und Mailserver hängt, lief auch lange Zeit ok in der ersten Konfiguration. Irgendwann wurde dort im Rahmen eines neuen Internetanschlusses die Zywall neu konfiguriert (neue IPs, ...) und seither kommen massig Spams durch (ich vermute es ist 1:1 NAT, da alle Ports offen sind). Ich bin der Sache dann einmal nachgegangen und habe festgestellt, dass alle Einlieferungen an Postfix mit "connect from 192.168.4.254" beginnen, also die IP der Zywall am DMZ-Port. Damit waren Blacklists und die Netzwerktest von Amavis auf einmal ziemlich nutzlos.
Auf die Nachfrage, was/wo/wie umgestellt wurde, bekam ich nur die Antwort, dass es nie anders war, "sonst würden die IPs ja gefälscht werden". Der Techniker meinte auch noch, unter Windows muss man eine Einstellung setzen, damit der Server weiß, dass er in einer DMZ steht, dann funktioniere alles, wird wohl unter Linux genauso sein (und überhaupt sind Blacklists/Greylisting böse, als Spam erkannte Mails lösche man gleich serverseitig, bei false positives habe man halt Pech gehabt).
Mit alten Logs und einem Verweis auf unsere Installation (selbst mein Linksys zu Hause macht das bei Portforwarding so) konnte ich ihnen allerdings das Gegenteil beweisen, seither keine Reaktion mehr.
Kann mir irgendwer die Sache mit den Source-IPs bei NAT erklären, der sich ev. auch mit der Konfiguration einer Zywall auskennt? Für mich ist das Ding eine Blackbox, ich kenne keine Konfigurationseinstellungen davon und kann auch selbst nichts ändern.
Wo liegt hier der Hund begraben?
Danke!
Grüße, Stefan