DNAT/Firewall bei SMTP

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
itp
Beiträge: 29
Registriert: 16 Sep 2019, 13:54

DNAT/Firewall bei SMTP

Beitrag von itp »

Hallo Lancom-Community,

ich tausche derzeit bei einem Kunden den vorhandenen Router (nicht Lancom) gegen einen EF1900EF aus.
Der Großteil der Dienste funktionierte beim ersten Test nur der Mailverkehr noch nicht.

Der Internetzugang läuft über öffentliche IPv4-Adressen.
Intern gibt es ein System welches den Mailverkehr annimmt und über das auch der Versand läuft.

Konfiguriert ist ein D-NAT Regel (SMTP Port 25 eingehend wird an die interne IP 192.168.50.87 weitergeleitet).
Die Firewall ist mit DENY-ALL aufgesetzt.
Somit gibt es hier eine Regel (erlaube eingehenden SMTP-Verkehr von 2 öffentlichen Adressen auf 192.168.50.87).
Außerdem wird SMTP von 192.168.50.87 ins Internet erlaubt.

Ist dieser Aufbau korrekt? Gibt es bei SMTP etwas zusätzlich zu beachten?

Vielen Dank im voraus.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: DNAT/Firewall bei SMTP

Beitrag von Jirka »

Hallo,

ja, möglichweise ist auch die WAN-IP-Adresse, also die, mit der der LANCOM-Router die Pakete des SMTP-Servers verschickt, nicht richtig oder es wird nicht von der richtigen WAN-IP-Adresse ein Portforwarding gemacht. Oder ein Name löst nicht mehr auf die richtige IP-Adresse auf (schon unwahrscheinlicher, aber auch solche "Konstruktionen" gibt es).

Viele Grüße,
Jirka
itp
Beiträge: 29
Registriert: 16 Sep 2019, 13:54

Re: DNAT/Firewall bei SMTP

Beitrag von itp »

Erst mal Danke für die schnelle Antwort!

Die IP-Adresse beim D-NAT habe ich geprüft - sie passt.
Die Stationsobjekte sind auch korrekt.
Beim ausgehenden Verkehr wüsste ich nicht, wo ich eine explizite IP-Adresse angeben kann.
Eventuell weis dazu jemand genaueres.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNAT/Firewall bei SMTP

Beitrag von backslash »

Hi itp
Der Großteil der Dienste funktionierte beim ersten Test nur der Mailverkehr noch nicht.
das ist natürlich eine Aussage die alles und nichts bedeuten kann... Die Frage ist also: Was funktioniert nicht? Mails senden? Mails empfangen? und Warum funktioniert es nicht? Wird es von der Firewall gefiltert? Wird die falche Absender-IP einfgesetzt?

die Fragen müßtest du beantworten, damit man weiterhelfen kann - ansonsten kann ich auch nur das sagen: prinzipiell sollte das so funktionieren:
  • Portforwarding für Port 25, 587 (für STARTTLS) und/oder 465 (für SMTPS) and interne IP einrichten
  • Firewallregel für den Empfang von Mails, die Traffic von den erlaubten öffentlichen IPs an die interne mit Port 25, 587 (für STARTTLS) und/oder 465 (für SMTPS) zuläßt
  • Firewallregel für das Senden von Mails, die Traffic von der internen IP an beliebige Adressen mit Port 25, 587 (für STARTTLS) und/oder 465 (für SMTPS) zuläßt
Wenn du mehrere öffentliche IPs hats und der Server nach Außen nicht die verwenden soll, die dem LANCOM direkt zugewiesen wurde, dann mußt du im Portforwarding die passende IP als "WAN-Adresse" mit angeben. Genauso mußt du in der Firewall-Regel für das Senden der Mails ein "policy based NAT" mit der gewünschten Adresse als Aktion eintragen

Gruß
Backslash
Antworten