+ Responder ao Tópico



  1. #1
    marcfee
    Visitante

    Padrão Pelo amor de Deus, POSTFIX na DMZ realay aberto

    Ola

    A situação é a seguinte, tenho um firewall que tem 3 eth's a eth0 é com ipfixo e valido ex.: 200.200.200.200 e a segunda é a da DMZ com ip de classe C ex.: 192.168.2.1 e a terceira também com ip de classe C ex.: 192.168.1.1 onde o servidor de e-mail tem o endereço de 192.168.2.3 na DMZ
    Estou fazendo NAT com o iptables onde o redirecionameto fica da seguinte forma:

    iptable -t nat -A PREROUTING -d 200.205.188.252 -p tcp --dport 25 -j DNAT --to 192.168.2.3
    iptable -t nat -A POSTROUTING -d 192.168.2.3 -p tcp --dport 25 -j SNAT --to 200.205.188.252

    O problema é que os endereços que chegam no firewal que irao acessar o
    servidor de e-mail não são encaminhados e sim o ip da eth1 do firewal que eh o ip 192.168.2.1 Gateway da DMZ, sendo assim o RELAY do postfix fica aberto por causa disto, então eu nao consigo barrar qualquer ip ou dominio que faz relay (SPAM) no meu servidor pois soh chega o ip da eth1 do firewal que esta fazendo NAT. A minha pergunta é a seguinte como faço para que o firewal encaminhe para o servidor de e-mail que esta na DMZ os ips verdadeiros da internet que querem usar o servidor?
    Ou seja como bloquera o relay e só permitir para minha rede interna que esta na eth2 192.168.1.0/24

    Obrigado desde já.

  2. #2
    marcfee
    Visitante

    Padrão Ninguém vai me ajudar

    Por favor me ajudem....



  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Pelo amor de Deus, POSTFIX na DMZ realay aberto

    opps.... falha nossa... tinha postado coisa errada aqui ops:

  4. #4
    wrochal
    Visitante

    Padrão fácil

    Atualize seu iptables e use as seguinte regras:

    Código :
    iptables -t nat -A PREROUTING -i ethx -p tcp --dport 25 -j DNAT --to-dest 192.168.0.x
    iptables -A FORWARD -p tcp -i ethx --dport 25 -d 192.168.0.x -j ACCEPT

    ethx = Interface de entrada ligada a wan
    192.168.0.x=ip do smtp

    até,



  5. #5

    Padrão Re: Pelo amor de Deus, POSTFIX na DMZ realay aberto

    Citação Postado originalmente por marcfee
    O problema é que os endereços que chegam no firewal que irao acessar o
    servidor de e-mail não são encaminhados e sim o ip da eth1 do firewal que eh o ip 192.168.2.1 Gateway da DMZ, sendo assim o RELAY do postfix fica aberto por causa disto,

    há um equívoco, aqui.. o relay independe do seu postfix estar na dmz, ou embaixo da cama, emcima do guarda-roupa ou seja lá onde estiver.. o RELAY é controlado no /etc/postfix/master.cf.

    Nada que um RTFM não consiga resolver.. ou uma pesquisadinha no google.


  6. #6
    Giovani
    Visitante

    Padrão relay aberto

    Eu trabalho em uma empresa que tem muitos usuários remotos e eles precisam acessar o servidor para fazer relay para diversos domínios como em um provedor. Então a melhor solução que encontrei, depois de muito pesquisar, foi compilar o Postfix com SASL ou seja, tornar possível a autenticação também no SMTP (SMTP_AUTH). É muito simples fazer isso. Primeiro dê uma olhada em http://www.thecabal.org/~devin/postfix/smtp-auth.txt, porém recomendo que vc use a documentação oficial do Postfix que fica no source... no meu caso "/usr/local/src/postfix-2.0.18/README_FILES/SASL_README"

    Boa Sorte.



  7. #7

    Padrão Pelo amor de Deus, POSTFIX na DMZ realay aberto

    bloqueia o relay pros ips 192.168 no main.cf

    pra quem precisa mandar email, libera com smtpd_*_restrictions.

  8. #8
    Fabio Nunes
    Visitante

    Padrão Pelo amor de Deus, POSTFIX na DMZ realay aberto

    Cara esse jaba é foda se acedita que eu tive um problema semelhante com um firewall na frente de um exchange, pasmem o jaba nao funcionava vamos ao que interessa tenta isso aqui.

    iptables -t nat -A POSTROUTING -o ethX -p tcp --dport 25 -j MASQUERADE
    iptables -t nat -A PREROUTING -i ethx -p tcp --dport 25 -j DNAT --to 192.168.x.x

    Existem casos em que devemos mascarar as conexoes ate o host destino.

    Fabio Nunes