25. februar 2003 - 08:56Der er
13 kommentarer og 1 løsning
DMZ Iptables
Hej...
Har et system kørende med en DMZ zone, men er tvivl om der er fuld hul ud til den fra vores LAN, samtidigt skal der værer åben for SMTP & POP3 fra DMZ til LAN, da der står en mail server både på LAN og DMZ... Ude i vores DMZ står der en Postfix, der gerne skulle kunne sende direkte viedere ind til vores Exchange på vores LAN...
Her er det Script vi bruger nu... Men det virker ikke som det skal... Nogle forslag ???
#iptables -A INPUT -p icmp -s 192.168.1.0/24 -j DROP
# STATEFULL
iptables -A stat -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A stat -m state --state NEW -i eth1 -j ACCEPT iptables -A INPUT -j stat iptables -A FORWARD -j stat
Vi kan sende mail ud til vores DMZ fra LAN af... Men kan ikke hente post ude fra DMZ... Har ikke sat vores Exchange op endnu... Det er meningen at der skal kører relay mellem Postfix og Exchange...
Ville bare hører om der stod noget i vores firewall som lukkede af for vores mail...
Der skal værer åben fra DMZ til LAN på port 25 og 110, og fra LAN til DMZ skal alt værer åben !!!
Her er jo blandet sammen en del forskjellige server funksjoner samtidig og disse ser ut (i følge firewallscriptet) å kjøre på litt forskjellige steder.
Vil foreslå et trinnvis tilnærmingsmetode der man skriver ett og ett scrip som tar seg av hver av serverfunsjonene samtidig som man skjøter det hele sammen til ett sammenhengende script når hver av serverfunsjonene er oppe og kjører.
Hvis man for eksempel kunne begynne med et script som tok seg av mailforwardingen / filtering så vil man først kunne få opp dette å kjøre, der etter så løser man problemstillingene for de øvrige funksjonene enketvis og suksessivt. Det ville forresten være enklest å begynne med web server funsjonen. (Slik at denne kan danne modell for de øvrige forwarding og filtering funksjonene.) Er dette akseptabelt ?
Er dette fra en internummerserie: LANIP=172.17.0.1 ?? Husker ikke.
Hva er dette ment å skulle bety: "-s 0/0 --dport 80" "En hvilken som helst avsender ip og mottaker port 80" er det det som er meningen ??
3 port dmz er ellers en del vanskeligere å sette opp enn en tilsvarende dobbelt 2 port løsning, men man sparer jo en PC.
Skal det ellers kjøres serverfunsjoner på selve den 3 ports firewallmaskinen slik som scriptet ser ut til å legge opp til ??
Fungerer de andre tingene minus mail funksjonen ? Hvordan er de andre tingene ment å skulle fungere ? Hvilke funsjoner skal kjøre hvor, og hvordan ?
Firewall scriptet henger så vidt jeg kan se ikke sammen på en helt fornuftig eller funksjonell måte. Hva skal for eksempel dette bety:
# STATEFULL
iptables -A stat -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A stat -m state --state NEW -i eth1 -j ACCEPT iptables -A INPUT -j stat iptables -A FORWARD -j stat
Har ikke testkjørt men mon ikke dette blir til noe slik som dette: Benytt regelsett for statefull inspection. Tillat all trafikk for all forwarding og for all input enten trafikken er ny, etablert eller relatert til tidligere trafikk.
Med endre ord: Benytt statefull inspection, men la firewallen stå helt åpen hva filtrering angår og overlat all filtrering til dnat rules. Hvis det nå ikke er slik at jeg misforstår, det kan godt hende så henger ikke dette helt godt sammen. (Det ville eventuelt ha vært mye enklere å sette alle policies til ACCEPT dersom man øsnker å ta vekk all filtrering.)
Ettersom firewallen ser ut til å være "uten firewall" eller filtrering så får man forsøke å se litt på forwardingen gjennom dnat rules for å se hvordan den fungerer nå ..
Det ser ut som om det skal være åpent fra wan og fra lan til den mail serveren som kjører på dmz.
For å finne ut dette sikkert så ville jeg ha plukket ut de få setningene i firewall som har med dette å gjøre og så laget et testscript som bare testet på denne problemstillingen.
Så vidt jeg kan huske så er det vel ikke nødvendig med noen udp forwarding for mail (25) eller pop3 (110), men det skulle på den annen side ikke stå som noen forhindring heller. Av og til så kan det være smart å åpne for litt ekstra vil jeg mene hvis man er i tvil, og så heller lukke av etterpå at det hele kjører.)
Det kan være andre grunner til at dette (mht mailserveren) ikke kjører. Ettersom firewall scripts ser ut til å være satt opp til å fungere symetrisk likt så er det vel kanskje i utgangspunktet mest sannsynlig at feilen eller problemet ligger i konfigureringsscriptet til mail server og eller pop3 serveren.
Troubleshoot først mail serveren på dmz alene. Benytt i den forbindelse pine eller web mail på dmz serveren. Send mail ut og inn både i forhold til lan og i forhold til wan intenett.
Når port 25 funsjonen er oppe å kjører, fortsett så med port 110/pop3 funksjonen osv.
Benytt i denne testsekvensen for mail og pop3 konfigurering et kraftig forenklet firewall script der alle policies er satt til ACCEPT slik at alle problemstillinger rundt packet filtrering er eleminert i den sekvensen der mail server og pop3 troubleshootes.
Det ser ikke ut til å være noe ved firewall som lukker av (det tas dog forbehold om at det ikke skal mere enn en ekelt liten fungere helt annerledes enn det som man hadde tenkt.)
Kjenner ikke Postfix og konfigureringen av denne, men hvis det hadde dreid seg om sendmail og pop3 så ville jeg ha sjekket disse filene:
Som tidligere nevnt: Tester man prinsippene rundt dnat forwarding og filtrering ved hjelp en enklere server funksjon enn mail, så kan man få en oversikt over hvordan pakkene beveger seg gjennom firewall uten alle de forstyrrende elementer og problemstillinger som finnes i forbindelse med en mail server / pop3 konfigurering.
Serverfunsjoner som jeg mener er got egent for slik uttesting/kartlegging er, vil jeg mene, web server event telnet, event ssh server. Disse kjøres da på den samme server som mailserveren slik at man kan sette opp og teste ut et trafikk mønster eller "pattern" der prinsippene og "trafikkreglene" så i neste omgang kan overføres til mail og popfunsjonen.
Man bør først og fremst ikke forsøke å løse det hele på en gang men i stedet forsøke å strukturere oppgaven i små delprosjekter som kan løses hver for seg.
jeg vil mene at for dobbelt firewall modellen med 2 pc'er og dmz i midten så er det hele noe enklere å få til. Det gir vel kanskje også en høyere grad av sikkerhet (?) men koster en firewall maskin ekstra.
Beklager .. den er nok borte for lenge siden .. har 5-6 PC'er jeg bruker for uttesting mm. Hadde stående et oppsett med diverse varianter av DMZ en periode ifb med uttesting av dette, men det finnes ikke mer. Kjører nå et nokså enkelt firewall oppsett nå uten noe egenltlig dmz.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
