Onderwerp: firewall uitgaand beter beveiligd P25 open, maar smtp werkt niet.

Hoi.

Even een vraagje. Ik heb een IIS server draaien achter een hardwarematige firewall nu wil ik het uitgaande verkeer vanaf de server naar buiten beperken, maar zodra ik dat doe, werkt de smtp functie op de webserver niet meer. Poort 25 staat in de firewall echter wel open naar buiten ( gecontroleerd met een telnet verbinding naar een externe mailserver op poort 25 )

Hoe is dit mogelijk? wanneer ik IIS SMTP check, staat smtp ook echt ingesteld op poort 25. kan het op de een of andere manier dan toch zo zijn dat een andere porot wordt gebruikt?

voor de duidelijkheid de firewall is ingesteld om al het verkeer vanaf poort 25 naar buiten toe te laten 'en om al het verkeer naar poort 25 naar buiten toe door te laten.

Ik hoop dat iemand een idee hierover heeft.

2005-09-09 12:40:04 127.0.0.1 127.0.0.1 SMTPSVC1 web07 127.0.0.1 0 DATA - +<20050909.124004.046a8095@domein.nl> 250 0 131 2501 531 SMTP - - - -
2005-09-09 12:40:04 127.0.0.1 127.0.0.1 SMTPSVC1 web07 127.0.0.1 0 QUIT - 127.0.0.1 240 828 61 4 0 SMTP - - - -
2005-09-09 12:40:05 65.54.167.5 OutboundConnectionCommand SMTPSVC1 web07 - 25 EHLO - web07.yxs.nl 0 0 4 0 203 SMTP - - - -

het lijkt erop dat er vanaf poort 0 naar buiten wordt verzonden. Is dat mogelijk ?

en hoe kan ik dat veranderen? ( in de smtp instellingen heb ik aangegeven dat alle ip adressen verzonden moeten worden via poort 25)

Heb je goed gekeken naar verschil tussen source port en destination port?

M.a.w. inbound smtp heeft een destination port van 25 en outbound smtp heeft ook een destination port van 25. De source port is vaak willekeurig.

ja ik heb op de firewall van netwerk naar buiten: ANY ->25 en 25 -> ANY beiden open. dus dat kan het niet zijn. Ik heb het idee dat op de server iets gebeurd wat niet helemaal klopt of zo.

zodra ik gewoon de hele boel naar buiten open zet werkt het weer prima.

Je zegt:

firewall van netwerk naar buiten: ANY ->25 en 25 -> ANY beiden open

Dus, je kunt van binnen naar buiten vanaf elke port naar port 25 of vanaf port 25 naar elke port.

Maar dat is niet goed. Wat je wilt is:

Je wilt van binnen naar buiten vanaf elke port naar port 25 en dan:

Van buiten naar binnen (andere ruleset dus) de tegengestelde richting voor bestaande connecties toestaan (of van port 25 naar elke port, maar dat is zo 1995)

Dus..

Maar misschien handiger als je wat meer info geeft over merk/type firewall en je exacte ruleset ff post.

ik heb een dlink 1100 firewall . met de voilgende regels:

rule name action source destination service
#5 mailSMTP2 Allow Any Any TCP All -> 25
#6 mailSMTP1 Allow Any Any TCP 25 -> All

Er staat #5 #6, dus heb je ook #1-#4 ? Op zicht zien deze rules er ok uit.

Even terug naar de analyse:

Wat werkt er precies niet? Je geeft aan dat een telnet naar buiten naar port 25 wel werkt, maar je smtp service geen mail kan versturen? Of ontvangen?

Geef een duidelijke beschrijving met resultaten van commando's die je geeft en wat je wilt bereiken.

iedere mail die via een script bijvoorbeeld cdonts, of php mail wordt verzonden vanaf de webserver naar buiten, die gaat via de localhost van de machine, met behulp van de smtp mailer van microsoft.

zodra de betreffende rules actief zijn, is het mailen naar buiten via de scripts niet meer mogelijk. In de eerste 4 regels staan ook enkel zaken die worden toegestaan. pas later worden poorten dichtgegooid..

bedankt voor je meedenken..

Als je dus op je machine telnet naar een externe computer op poort 25 krijg je wel netjes reply?

Loopt eens door je application of system event log heen, daar poept de SMTP service zijn messages heen..

Kan ook zijn dat je mailserver niet kan resolven (dns verkeer geblokkeerd?), maar dat zou je dan in je event log zien.

Werken die andere 4 services die je in je firewall hebt gedefinieerd wel goed?

geweldig !! dat was het ! Ik had naar Buiten enkel TCP 53 opengezet. UDP 53 moest ook open !! Hartstikke bedankt !!!

Origineel geplaatst door janwillem
geweldig !! dat was het ! Ik had naar Buiten enkel TCP 53 opengezet. UDP 53 moest ook open !! Hartstikke bedankt !!!

You're welcome