[fli4l] Paktefilterregeln

Harvey hw234 at gmx.de
Mo Jun 11 19:12:16 CEST 2018 

Am 11.06.2018 um 13:52 schrieb Harvey:
> Hi Robert,
> 
>>> PF_FORWARD_1='tmpl:mail ACCEPT BIDIRECTIONAL'
>>> PF_FORWARD_2='tmpl:smtp ACCEPT BIDIRECTIONAL'
>>
>> Wenn du vor der established/related r4egel arbeitest hast du _KEINE_
>> Statefull-Firewall mehr - zumindest so nicht. Und du würdest Absender-IP
>> die von bekannten Mail-Ports kommen einfach freien Zugang in deine
>> Wohnung gewähren. Ein durchaus großes Loch.
> 
> Deswegen frage ich ja hier, wo man sich damit auskennt. ;)
> 
>> Du kannst mal versuchen sowas hinzubekommen:
>>
>> PF_FORWARD_1='state: ESTABLISHED,RELATED any:25 any ACCEPT
>> PF_FORWARD_2='any any:25 ACCEPT'
> 
> Hab jetzt mal Folgendes zusammen geklopft:
> 
> # Regeln für imap und smtp
> PF_FORWARD_1='state:ESTABLISHED,RELATED any:993 any ACCEPT'
> PF_FORWARD_2='any any:993 ACCEPT'
> PF_FORWARD_3='state:ESTABLISHED,RELATED any:587 any ACCEPT'
> PF_FORWARD_4='any any:587 ACCEPT'
> # Als nächstes OAC, damit bestehende Verbindungen bei Erreichen
> # des Zeitlimits auch wirklich getrennt werden
> PF_FORWARD_5='oac-chain'
> # dann die 'normalen' defaults
> PF_FORWARD_6='state:ESTABLISHED,RELATED ACCEPT'
> PF_FORWARD_7='state:INVALID DROP'
> PF_FORWARD_8='state:NEW 127.0.0.1 DROP BIDIRECTIONAL'
> PF_FORWARD_9='pfwaccess-chain'
> PF_FORWARD_10='ovpn-chain'
> PF_FORWARD_11='tmpl:samba DROP'      # drop samba traffic if it tries
>                                     # to leave the subnet
> PF_FORWARD_12='IP_NET_1 ACCEPT'      # accept everything else
> 
> Damit kann ich jetzt von den gesperrten Rechner auch imap-Mails abholen.
> Das Versenden mit smtp klappt allerdings nicht. Der SMTP server verlangt
> definitv Port 587 zur Authentifizierung per STARTTLS. Könnte nur sein,
> das die eigentlich Mail dann doch per Port 25 übertragen wird. Da muss
> ich wohl den Provider mal löchern...

Nun, nach einem Telefonat mit der technischen Hotline des Providers bin
ich nicht schlauer. Die sagen, port 25 wäre nötig, alle einschlägige
Literatur sagt, für die 'erst Meile' vom Mailclient zum Server ist nur
STARTTLS auf port 587 nötig, sowohl für Authentifizierung als auch
Mailversand.

Deckt sich auch mit meinen Versuchen, Port 25 zusätzlich freizumachen
hilft nämlich nicht. Es gehen keine Mails raus...

Zurück zur Paketfilter-Doku...

Harvey

Mehr Informationen über die Mailingliste Fli4L