[Postfixbuch-users] Offtopic firewall

Christian Wally c.wally at cwrm.at
Mi Apr 1 08:39:02 CEST 2009 

Alexander Busam schrieb:
>
> Hallo,
>
> ich verwende das Firewall-Script von Peer Heinlein um den Mailserver 
> abzusichern. Ich habe noch den LDAP-Server aufgenommen, damit der 
> Mailserver die Authentifizierung durchführen kann.
>
> Alles, bis auf das Versenden (intern/extern) von Mails funktioniert. 
> Kann mir jemand weiterhelfen ?
>
> Im folgenden die Konfiguration aus dem Firewall-Script, der main.cf, 
> master.cf und der Fehlermail und die Ausgabe aus der /var/log/mail:
>
> Firewall-Script:
> ===========
>
> #! /bin/sh
>
> # Author: Alexander Busam
> #
> # /etc/init.d/iptables_script
> #
> ### BEGIN INIT INFO
> # Provides:       iptables
> # Required-Start: $network
> # Should-Start:
> # Required-Stop:
> # Default-Start:  3 5
> # Default-Stop:
> # Description:    start the iptables configuration
> ### END INIT INFO
>
>
> # IP-Adresse des Netzwerkinterfaces
> ip_nr=192.168.1.27
>
> # IP-Adresse des lokalen DNS-Servers
> ip_ldns=192.168.1.26/32
>
> # IP-Adresse des lokalen LDAP-Servers
> ip_lldap=192.168.1.26/32
>
>
> # IP-Adresse des lokalen Netzes
> ip_lnet=192.168.1.0/24
>
>
> IPT=/usr/sbin/iptables
>
>
> . /etc/rc.status
>
> # Reset status of this service
> rc_reset
>
> case "$1" in
>
>    start)
>
>
>        #Alle Regeln löschen
>          $IPT -F
>        $IPT -X
>        $IPT -t nat -F
>        $IPT -t nat -X
>
>
>    # Durch unsere default-Regel (P=policy) machen wir alles zu.
>    $IPT -P INPUT DROP
>    $IPT -P OUTPUT DROP
>    $IPT -P FORWARD DROP
>
>
>    # Wir erlauben nun pauschal alle Verbindungen, die zu bereits
>    # aufgebauten Verbindungen gehören. WELCHE Verbindungen aufgebaut
>    # werden dürfen, regeln wir anschließend.
>    # Wir ziehen diesen Regelsatz vor, da wir Rechenpower sparen: Ein
>    # Großteil der Pakete wird durch diese Regel durchgelassen, und so
>    # können wir recht früh die Prüfung beenden.
>
>    $IPT -A INPUT  -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>    $IPT -A OUTPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>    $IPT -A INPUT  -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
>    $IPT -A OUTPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>    #
>    # Benötigte Dienste müssen wir nun einzeln freischalten:
>    #
>
>    # Mailempfang SMTP weltweit
>    $IPT -A INPUT  -p TCP -d $ip_nr --sport 1024: --dport 25 \
>         -m state --state NEW -j ACCEPT
>
Diese Regel nimmt nur an wenn der Source Port 1024 ist
Sollte wohl lauten
$IPT -A INPUT  -p TCP -d $ip_nr --dport 25 -m state --state NEW -j ACCEPT
>    # Mailversand weltweit
>    $IPT -A OUTPUT -p TCP -s $ip_nr --sport 25 --dport 1024: \
>         -m state --state NEW -j ACCEPT
>
Und die nur wenn der Source Port 25 und Destination Port 1024
So sollte es gehen:
$IPT -A OUTPUT -p TCP -s $ip_nr --dport 25 -m state --state NEW -j ACCEPT

ciao
chris

-- 
Christian Wally
Risk Management
Jagdbergstrasse 278
6721 Thueringerberg
T: +43-720-737014
M: +43-699-19439834
W: http://www.cwrm.at

Mehr Informationen über die Mailingliste Postfixbuch-users