Фаервол не блокирует активность с внешнего IP

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Фаервол не блокирует активность с внешнего IP

Сообщение svini221 » 09 янв 2020, 12:50

Здравствуйте. Проблема в следующем. Имеется бесплатный релиз IDECO UTM. На нём проброшен почтовый релей на сервер который находится во внутренней сети. Так же проброшены через портмапинг все необходимые почтовые порты. При попытке блокировки активности с внешнего IP на почтовый сервер (который проброшен через релей). Пробовал блокировать пинг с внешнего IP, всё блокируется. Возможно ли такое,что Фаервол не блокирует активность с внешних IP именно по почтовым портам,которые проброшены?
svini221
Опытный пользователь
 
Сообщения: 51
Зарегистрирован: 22 июл 2014, 16:54

Re: Фаервол не блокирует активность с внешнего IP

Сообщение ideco.dmitriy » 09 янв 2020, 15:04

Добрый день!
Если вы сделали проброс портов правилом DNAT, то правила файервола в таблице FORWARD действовать на эти порты не будут (что естественно).
Но будут действовать правила системы предотвращения вторжений, там есть специальные правила блокировки атак по SMTP и др. почтовым протоколам.

Безопаснее же публиковать почтовый сервер с помощью почтового релея, тогда защита будет гораздо эффективнее: https://doc.ideco.ru/pages/viewpage.act ... Id=1278147
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2211
Зарегистрирован: 11 мар 2014, 08:43

Re: Фаервол не блокирует активность с внешнего IP

Сообщение svini221 » 12 янв 2020, 14:34

Спасибо.Я Вас понял
svini221
Опытный пользователь
 
Сообщения: 51
Зарегистрирован: 22 июл 2014, 16:54

Re: Фаервол не блокирует активность с внешнего IP

Сообщение svini221 » 14 янв 2020, 10:21

Включил я на почтовом сервере IMAP, POP3. Почта ходит,но не у всех. Проверил какие порты пробрасывает релей. Это порты - 993,587,995,110. Получается что порт Secure SMTP 465 не пробрасывается релеем и порт 443 тоже. У нас web интерфейс почты работает через ssl сертификат. Возможно ли добавление в почтовый релей проброс порта 465? А порт 443 я так понял пробрасывается через обратный прокси.
svini221
Опытный пользователь
 
Сообщения: 51
Зарегистрирован: 22 июл 2014, 16:54

Re: Фаервол не блокирует активность с внешнего IP

Сообщение ideco.dmitriy » 14 янв 2020, 17:08

Почтовый релей публикует только 25-ый порт. По другим портам будет отвечать встроенный в ideco UTM почтовый сервер, но на свой почтовый сервер вы в таком случае по ним не попадете.
Необходимо опубликовать эти порты (включая 465 и 587 - они не публикуются релеем, поскольку по ним осуществляются клиентские подключения, а не подключения сервер-сервер) с помощью правила DNAT в файерволе.
https://doc.ideco.ru/pages/viewpage.act ... Id=1278141

При этом в почтовом сервере Ideco UTM необходимо выключить IMAP/POP3.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2211
Зарегистрирован: 11 мар 2014, 08:43

Re: Фаервол не блокирует активность с внешнего IP

Сообщение svini221 » 15 янв 2020, 09:06

Спасибо за ответ.Получается,что почтовый релей работает по не защищенному почтовому протоколу? А что тогда с модулем антиспам?Если на сервере отключен IMAP и POP3 и идет просто проброс 993 и 465 портов,то он бесполезен?
svini221
Опытный пользователь
 
Сообщения: 51
Зарегистрирован: 22 июл 2014, 16:54

Re: Фаервол не блокирует активность с внешнего IP

Сообщение ideco.dmitriy » 15 янв 2020, 12:58

Релей предназначен для фильтрации только входящего почтового трафика на ваш сервер.
Спам собственно идет только по 25-му порту, поэтому отлично фильтруется на уровне релея. IMAP/POP3 протоколы для работы с уже полученными почтовым сервером сообщениями. 587 и 465 порты для SMTP также предназначены для работы авторизованных клиентов (они всегда работают с авторизацией), поэтому спам на них не фильтруют.

SMTP при этом в режиме релея может быть и зашифрован TLS (в Ideco UTM по-умолчанию шифрование включено и в случае его согласования с отправляющим сервером применяется), но это не защита от спама (а защита от перехвата и изменения трафика на маршруте между почтовыми серверами).
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2211
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron