🚀 go-pugleaf

Micha³ Klawon wrote:
> 
> Witam!
> Postanowilem zabezpieczyc serwer pocztowy (sendmail) na Linuxie za pomoca
> firewalla filtrujacego pakiety. Chodzilo o to, aby "wpuszczal" pakiety
> tylko kilku podstawowych uslug. Posluzylem sie przy tym opisem
> zaproponowanym w Firewall-HOWTO, przy czym tam opisano jak skonfigurowac
> forwarding (IPFWADM -F). Zastosowalem proponowane ustawienia dla opcji
> input filtering (IPFWADM -I).
> Zgodnie z tym wlaczylem:
> 1.wpuszczanie poczty z innych MTA (tcp na porcie 25);
> 2. wchodzenie POP2, POP3 i IMAP
> 3. akceptacje wszystkiego dla 127.0.0.1
> 4. akceptacje wszystkiego dla domeny lokalnej
> 5. wchodzenie pakietow ruchu DNS.
> Oczywiscie nie ma zadnych warunkow dla pakietow out i forward (accept all).
> Wszystko z grubsza chodzi dobrze, przy czym moj serwer ma problemy z
> przesylaniem poczty do innych MTA. Podejrzewam zla konfiguracje zapisu
> dotyczacego ruchu DNS.
> Czy ktos orientuje sie, pakiety jakich uslug (services) systemu Linux musza
> konieczne "dochodzic" do serwera, aby tego typu zabezpieczenie serwera
> poczty moglo funkcjonowac?

Mam pewna sugestie - otoz niektore serwery pocztowe probuja
sprawdzac tozsamosc nadawcy przez ident. Jezeli ustawiles
w firewall'u policy dla portu auth na deny, to ich zapytanie
zostanie 'pochloniete' przez firewall i beda one czekac
na odpowiedz az do timeout'u - ok. kilkudziesieciu
sekund (do tego czasu sesja 'wisi'). Jesli to jest powodem,
zmien w regulach deny na reject (bedzie zwracal komunikat
ze port jest niedostepny i druga strona nie bedzie czekac).

Artur Skawina <king_artur@bigfoot.com> napisa�(a) w artykule
<34974BA2.59E81A6C@usa.net>...
> > Postanowilem zabezpieczyc serwer pocztowy (sendmail) na Linuxie za
pomoca

> > 1.wpuszczanie poczty z innych MTA (tcp na porcie 25);
> > 2. wchodzenie POP2, POP3 i IMAP
> > 3. akceptacje wszystkiego dla 127.0.0.1
> > 4. akceptacje wszystkiego dla domeny lokalnej
> > 5. wchodzenie pakietow ruchu DNS.

>Ja tez, ale brak szczegolow...
Na serwerze chodzi named, jako cache dns-u, inaczej mowiac serwer ma swoj
dns, z ktorego korzysta. Jesli zaloguje sie lokalnie jako uzytkownik
systemu, poprawnie otrzymuje wszystkie tlumaczenia na bazie tego DNS-u (i
kazdego innego). Malo tego, komputery w sieci lokalnej takze uzywaja w/w
jako DNS - i wszystko jest w porzadku. Jedyne co zauwazylem to to, ze jesli
pinguje DO serwera "ze swiata", nie otrzymuje odpowiedzi, ale to zapewne
dlatego, ze moja konfiguracja nie wpuszcza pakietow ping.

> > Czy ktos orientuje sie, pakiety jakich uslug (services) systemu Linux
musza
> > konieczne "dochodzic" do serwera, aby tego typu zabezpieczenie serwera
> > poczty moglo funkcjonowac?
>
> Mam pewna sugestie - otoz niektore serwery pocztowe probuja
> sprawdzac tozsamosc nadawcy przez ident. Jezeli ustawiles
> w firewall'u policy dla portu auth na deny, to ich zapytanie
> zostanie 'pochloniete' przez firewall i beda one czekac
> na odpowiedz az do timeout'u - ok. kilkudziesieciu
> sekund (do tego czasu sesja 'wisi'). Jesli to jest powodem,
> zmien w regulach deny na reject (bedzie zwracal komunikat
> ze port jest niedostepny i druga strona nie bedzie czekac).

>NIektore stosy TCP/IP po otrzymaniu ICMP host unreachable przestaja
>wogole komunikowac sie z danym hostem - co znacznie utrudnia
>dostarczenie poczty... ;)

To raczej odpada - po "zdjeciu" firewalla natychmiast przechodzi cala
skolejkowana poczta - bez zadnego problemu.


--
Michal Klawon
mik@pop.up.gov.pl