Hallo Liste, folgendes Problem, in der Firma haben bei uns eine Menge Leute Zugriff auf Das Internet und eMail. Gibt es eine Möglichkeit allen den Zugriff auf eMail zu ermöglichen, aber einige IP's für den Internetzugang zu sperren - z.B. über ipchains oder ähnliches. Besten Dank im voraus Gerd
On 19-Nov-01 Gerhard Kleebaur wrote:
Hallo Liste,
folgendes Problem, in der Firma haben bei uns eine Menge Leute Zugriff auf Das Internet und eMail. Gibt es eine Möglichkeit allen den Zugriff auf eMail zu ermöglichen, aber einige IP's für den Internetzugang zu sperren - z.B. über ipchains oder ähnliches. Besten Dank im voraus
Einfach die TCP-Ports 80 (HTTP), 443 (SSL), 20 und 21 (FTP) sperren, dann ist schon das meiste erledigt. Bessere Variante: 1. SMTP-Server auf dem Router oder einem extra Rechner aufsetzen (postfix sei mal empfohlen) 2. fetchmail/pop-Proxy aufsetzen 3. HTTP-Proxy mit Proxy Auth aufsetzen 4. Caching DNS aufsetzen Danach mit iptables oder ipchains praktisch alles dichtmachen, nur der Router bzw. Server selbst darf noch selbst nach draußen connecten. Gesurft wird via Proxy, der wg. Proxy Auth ne Authentifizierung braucht. Evtl. gibts noch mir HTTPS Probleme, dann Port 443 mit Masquerading freischalten. Squid kann das aber zumindest durchrreichen. Mailabholung ebenfalls direkt beim Gateway/Proxy-Server, Mailversand dito. Jetzt noch auf dem Proxy nen gescheiten Virenscanner einklinken und man ist recht weitgehend auf der sicheren Seite. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
Hi Gerhard, Gerhard Kleebaur wrote:
folgendes Problem, in der Firma haben bei uns eine Menge Leute Zugriff auf Das Internet und eMail. Gibt es eine Möglichkeit allen den Zugriff auf eMail zu ermöglichen, aber einige IP's für den Internetzugang zu sperren - z.B. über ipchains oder ähnliches.
Ja. Ich wuerde Port 80 nicht nach draussen durchlassen sondern alle ueber den Proxy (Stichwort Squid) zwingen. Dort kannst du dann genau definieren (Stichwort ACL), welche Clients (durch die IP) auf Squid zugreifen duerfen. Ansonsten sowieso alles sperren ausser POP3/SMTP bzw. was du eben fuer Mail brauchst - und das nur fuer den Server freigeben. Jan -- ETES - Espenhain & Theofel EDV-Systemhaus GbR Libanonstrasse 58 A * D-70184 Stuttgart Phone +49 711 4895550 * Fax +49 711 4809761 EMail: info@etes.de --- URL: www.etes.de
Hi Jan On Tue, Nov 20, 2001 at 12:12:34AM +0100, Jan Theofel wrote:
Ja. Ich wuerde Port 80 nicht nach draussen durchlassen sondern alle ueber den Proxy (Stichwort Squid) zwingen. Dort kannst du dann genau definieren (Stichwort ACL), welche Clients (durch die IP) auf Squid zugreifen duerfen.
der Vollständigkeit halber würde ich noch SquidGuard erwähnen, der das acl Konzept noch ein wenig erweitern kann und imho ab ~10 Rechnern einfacher zu administrieren ist.
Ansonsten sowieso alles sperren ausser POP3/SMTP bzw. was du eben fuer Mail brauchst - und das nur fuer den Server freigeben.
Dazu gibt es vielleicht noch zu sagen das man dem Thema e-mail Sicherheit vielleicht auch noch den einen oder anderen Gedanken gönnen sollte wenn man schon anfängt ein paar Freunde in der Firma weniger zu haben dann gleich richtig. ;-) http://mailtools.anomy.net/ http://www.impsec.org/email-tools/procmail-security.html alpha-version der Übersetzung: http://www.mayn.franken.de/~falk/email-tools/procmail-security.html -- MfG. Falk
participants (4)
-
Erhard Schwenk
-
Falk Sauer
-
Gerhard Kleebaur
-
Jan Theofel