Sandy Drobic
Dieter Kluenter wrote:
Hallo Dieter, wenn er so ein Port-Forwarding eingerichtet hat, dann hat die Verbindung, die vom Internet aufgebaut wird, NICHT die IP des Routers, sondern direkt die IP des Clients aus dem Internet. Hast du schon mal ein tcpdump in einer solchen Konstellation laufen lassen? Bei meinem Router (Netgear) werden die IP's maskiert. Ebenfalls bei einem mit SuSE Firewall II und pppoe eingerichteten Bastionsrechner. Da bin ich zum erstenmal darüber gestolpert.
Heftig. Mir reicht es, ins Log des Mailservers zu schauen, wo die Client-IPs auftauchen. und das sind ganz normal die offiziellen IPs der Clients, nicht die der Firewall.
Über die Geschichte mit SFW2 bin ich gestolpert, als mich ein Bekannter mit der Mitteilung anrief, T-Online wolle seinen Account sperren, da er ein offenes Relay betreibe. Nachdem ich den Datenverkehr mit tcpdump aufgezeichnet und mit ethereal ausgewertet hatte, fielen mir die maskierten Adressen auf.Dann wurde in main.cf die recipient_restrictions mynetwork herausgenommen und nur noch sasl_authenticated erlaubt, danach war Ruhe und mein Bekannter konnte seinen Account behalten. [...]
Kann es sein, dass du die von einigen Router-Herstellern beworbene "DMZ-Fähigkeit" von Billig-Routern meinst, wo DMZ gleichgesetzt ist mit "exposed Host"? Davon habe ich auch gehört. ;-)
Es handelt sich zwar um preiswerte DSL und WLAN Router, aber ich meine nicht die DMZ-Fähigkeit sondern NAT.
Port-Forwarding leitet nur die SYN-Pakete weiter, die auf dem Port des Routers eintreffen, was ja der Sinn der Sache ist. Den Rest der Verbindung erledigt Stateful Inspection.
Etwas anderes habe ich auch nicht behauptet. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6