Diese Seite ist unverschlüsselt! Um sicherzustellen, das Ihr Passwort nicht ausgelesen werden kann, sollten Sie auf die verschlüsselte Seite wechseln!

    Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » GNU/Linux » Firewalleinstellungen für email
Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 <
000
26.05.2005, 10:56 Uhr
~Pler(2)
Gast


Hallo,

wir haben hier einen Linux - Rechner, der den Zugang zum Internet regeln soll.

Aufbau:
"Anschluss" -> "so'n netgearrouter" -> "Linux - Rechner" -> "Clients"

Surfen kann man über den auf dem Server installierten Squid super. Aber da ja nicht alle alles dürfen solln, habe ich bei der Firewall unter "FORWARD" drop als default eingestellt.

Jetzt will ich aber die entsprechenden Ports freigeben, um emais von den entprechenden Clients über den server zu versenden.
Also smtp und pop3 von zB. web.de oder gmx zu erreichen.

Welche Regeln muss ich einstellen?

Mit folgenden Regeln funktionierts:
1. default auf ACCEPT setzen
2. if source is 10.3.22.4
( Das ist mir aber zu offen )

Ich habe schon folgende Einstellungen probiert, aber da kommt dann nichts mehr durch:
1. ACCEPT If protocol is UDP and source is 10.3.22.4 and destination port is 110
2. ACCEPT If protocol is TCP and source is 10.3.22.4 and destination port is 110
( entsprechend auch für Port 25 )
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
30.05.2005, 12:37 Uhr
typecast
aka loddab
(Operator)


Du musst natuerlich auch den Weg zurueck freimachen. Bis jetzt ist nur der Weg zum Server freigeschalten.
Der Sever kann hier noch nicht antworten.

Pop3 verwendet im uebrigen kein UDP sondern laeuft komplett ueber TCP. Die zweite Regel ist also unnoetig.
--
All parts should go together without forcing. ... By all means, do not use a hammer. (IBM maintenance manual, 1925)
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
01.06.2005, 22:10 Uhr
Pler
Einer von Vielen
(Operator)



Zitat:

Du musst natuerlich auch den Weg zurueck freimachen.

Dann versteh ich aber nicht, warum die zweite Regel funktioniert?
( if source is 10.3.22.4 )
( Das hab ich vielleicht ein bisschen schlecht geschrieben, es war gemeint, dass es funktioniert, wenn ich als erste Regel "if source is 10.3.22.4" einstelle und danach "deny all" mache; und dann ist der Weg ja blos in eine Richtung frei. Aber sobald ich eben die Regel erweitere und dann schreibe "if source is 10.3.22.4 and Producol is TCP and Port is 110" funktioniert es nicht mehr. Vielleicht werden ja für den Aufbau der Verbindung noch andere Ports benötigt? )

Ich dachte immer, dass man blos den Weg freigeben muss, in welcher die Verbindung aufgebaut wird?

Laufen smtp und IMAP auch komplett über TCP?
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
003
01.06.2005, 22:15 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


probier mal aus obs geht wenn du

1. default auf ACCEPT setzen
2. ACCEPT If protocol is TCP and source is 10.3.22.4 and destination port is 110

machst. ich würde sagen das geht dann auch

Ansonsten kannste dir ja hier mal anregungen holen, evtl haste ja tippfehler drin:

www.newbie-net.de/anleitung_minifire.html

oder die von mir (etwas kompliziertere, für router u.ä mit mehr als einem interface)

http://ma.ra-doersch.de/docs/firewall.zip
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
004
02.06.2005, 07:19 Uhr
Pler
Einer von Vielen
(Operator)



Zitat:

probier mal aus obs geht wenn du

1. default auf ACCEPT setzen
2. ACCEPT If protocol is TCP and source is 10.3.22.4 and destination port is 110

Ja ich glaub auch das das geht.


Zitat:

haste ja tippfehler drin

Ausgeschlossen, denn ich mache das mit Webmin
Aber ich werd auf jeden fall mal vorbeischauen.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
005
02.06.2005, 08:31 Uhr
typecast
aka loddab
(Operator)


@Pler: Der Grund warum das erste funktioniert und das zweite nicht ist die Default Policy.

Wenn du alles akzeptierst, kommen die Packete natuerlich an. Wenn du DROP als Default Policy hast, musst du alles expliziet freischalten.

Deswegen wuerde ich dir empfehlen, die Default Policy auf DROP zu setzen. Dann kommt wirklich nur das an, was du auch angegeben hast.
--
All parts should go together without forcing. ... By all means, do not use a hammer. (IBM maintenance manual, 1925)
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 <     [ GNU/Linux ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: