Dieter Kluenter wrote:
Hast du schon mal ein tcpdump in einer solchen Konstellation laufen lassen? Bei meinem Router (Netgear) werden die IP's maskiert. Ebenfalls bei einem mit SuSE Firewall II und pppoe eingerichteten Bastionsrechner. Da bin ich zum erstenmal darüber gestolpert.
Heftig. Mir reicht es, ins Log des Mailservers zu schauen, wo die Client-IPs auftauchen. und das sind ganz normal die offiziellen IPs der Clients, nicht die der Firewall.
Über die Geschichte mit SFW2 bin ich gestolpert, als mich ein Bekannter mit der Mitteilung anrief, T-Online wolle seinen Account sperren, da er ein offenes Relay betreibe. Nachdem ich den Datenverkehr mit tcpdump aufgezeichnet und mit ethereal ausgewertet hatte, fielen mir die maskierten Adressen auf.Dann wurde in main.cf die recipient_restrictions mynetwork herausgenommen und nur noch sasl_authenticated erlaubt, danach war Ruhe und mein Bekannter konnte seinen Account behalten.
Welche IPs sind denn in den Logs des Servers aufgetaucht? Dann müssten dort ja ebenfalls die lokale IP des Routers als Client erscheinen. Auch die Blacklists müssten dann ins Leere laufen. Gut auf jeden Fall, dass du darüber schreibst, dann kann ich das in Zukunft im Hinterkopf berücksichtigen, falls ich so einen Fall debuggen muss.
Es handelt sich zwar um preiswerte DSL und WLAN Router, aber ich meine nicht die DMZ-Fähigkeit sondern NAT.
Viele der Hardware-Router verwenden ja auch iptables, daher ist deine Erfahrung schon etwas beunruhigend.
Port-Forwarding leitet nur die SYN-Pakete weiter, die auf dem Port des Routers eintreffen, was ja der Sinn der Sache ist. Den Rest der Verbindung erledigt Stateful Inspection.
Etwas anderes habe ich auch nicht behauptet.
Wollte nur sichergehen, dass wir beide von der gleichen Sache sprechen. Erklären kann ich mir das eigentlich nur, wenn auf dem Router ein SMTP-Proxy läuft, der die Verbindung cached und als Mittelmann fungiert. So etwas machen aber eigentlich nur gute Firewalls, rätsel... Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply (@) japantest (.) homelinux (.) com