Pelo amor de Deus, POSTFIX na DMZ realay aberto

[marcfee]

Ola

A situação é a seguinte, tenho um firewall que tem 3 eth's a eth0 é com ipfixo e valido ex.: 200.200.200.200 e a segunda é a da DMZ com ip de classe C ex.: 192.168.2.1 e a terceira também com ip de classe C ex.: 192.168.1.1 onde o servidor de e-mail tem o endereço de 192.168.2.3 na DMZ
Estou fazendo NAT com o iptables onde o redirecionameto fica da seguinte forma:

iptable -t nat -A PREROUTING -d 200.205.188.252 -p tcp --dport 25 -j DNAT --to 192.168.2.3
iptable -t nat -A POSTROUTING -d 192.168.2.3 -p tcp --dport 25 -j SNAT --to 200.205.188.252

O problema é que os endereços que chegam no firewal que irao acessar o
servidor de e-mail não são encaminhados e sim o ip da eth1 do firewal que eh o ip 192.168.2.1 Gateway da DMZ, sendo assim o RELAY do postfix fica aberto por causa disto, então eu nao consigo barrar qualquer ip ou dominio que faz relay (SPAM) no meu servidor pois soh chega o ip da eth1 do firewal que esta fazendo NAT. A minha pergunta é a seguinte como faço para que o firewal encaminhe para o servidor de e-mail que esta na DMZ os ips verdadeiros da internet que querem usar o servidor?
Ou seja como bloquera o relay e só permitir para minha rede interna que esta na eth2 192.168.1.0/24

Obrigado desde já.

[marcfee]

Por favor me ajudem....

[sergio]

opps.... falha nossa... tinha postado coisa errada aqui ops:

[wrochal]

Atualize seu iptables e use as seguinte regras:

Código :

iptables -t nat -A PREROUTING -i ethx -p tcp --dport 25 -j DNAT --to-dest 192.168.0.x
iptables -A FORWARD -p tcp -i ethx --dport 25 -d 192.168.0.x -j ACCEPT

ethx = Interface de entrada ligada a wan
192.168.0.x=ip do smtp

até,

[irado]

O problema é que os endereços que chegam no firewal que irao acessar o
servidor de e-mail não são encaminhados e sim o ip da eth1 do firewal que eh o ip 192.168.2.1 Gateway da DMZ, sendo assim o RELAY do postfix fica aberto por causa disto,

há um equívoco, aqui.. o relay independe do seu postfix estar na dmz, ou embaixo da cama, emcima do guarda-roupa ou seja lá onde estiver.. o RELAY é controlado no /etc/postfix/master.cf.

Nada que um RTFM não consiga resolver.. ou uma pesquisadinha no google.

[Giovani]

Eu trabalho em uma empresa que tem muitos usuários remotos e eles precisam acessar o servidor para fazer relay para diversos domínios como em um provedor. Então a melhor solução que encontrei, depois de muito pesquisar, foi compilar o Postfix com SASL ou seja, tornar possível a autenticação também no SMTP (SMTP_AUTH). É muito simples fazer isso. Primeiro dê uma olhada em http://www.thecabal.org/~devin/postfix/smtp-auth.txt, porém recomendo que vc use a documentação oficial do Postfix que fica no source... no meu caso "/usr/local/src/postfix-2.0.18/README_FILES/SASL_README"

Boa Sorte.

[joaoreis]

bloqueia o relay pros ips 192.168 no main.cf

pra quem precisa mandar email, libera com smtpd_*_restrictions.

[Fabio Nunes]

Cara esse jaba é foda se acedita que eu tive um problema semelhante com um firewall na frente de um exchange, pasmem o jaba nao funcionava vamos ao que interessa tenta isso aqui.

iptables -t nat -A POSTROUTING -o ethX -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -i ethx -p tcp --dport 25 -j DNAT --to 192.168.x.x

Existem casos em que devemos mascarar as conexoes ate o host destino.

Fabio Nunes