Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 7456 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Port wird nicht nach außen durchgelassen

itpsc
Hallo Zusammen, ich habe folgende Rahmenparameter:
Sophos UTM 9.3-15
- 2 WAN Schnittstellen mit Upload-Ausgleich (100 und 0) damit die PCs zuerst mit der schnellen 100 MBit Leitung arbeiten und bei Ausfall die andere Leitung nehmen.
Die andere WAN Schnittstelle (2MBit) hat 5 zusätzliche öffentliche IP Adressen.

Ein Exchange Server 2013 steht im internen Netz und ein Exchange EDGE steht in der DMZ. Der Edge sendet und empfängt die E-Mails von/nach dem Internet und tauscht sie nach innen mit dem Exchange Server aus.

Versand muss über eine der zusätzlichen öffentlichen IPs der 2 MBit Leitung erfolgen.

1) Es gibt eine Multipath Regel um den Upload-Ausgleich zu umgehen:
    Bindung nach Schnittstelle
    EDGE Server - SMTP Messaging - Internet IPv4 - WAN_2MBit

2) Es gibt eine SNAT Regel für den ausgehenden SMTP Traffic:
     EDGE Server - SMTP Messaging - Internet IPv4 
     Quellübersetzung:  WAN_2MBit_IP139 (Adress)
     und eine dazu passende Firewallregel

3) Es gibt für den eingehenden SMTP Traffic eine DNAT Regel:
    Any - SMTP Messaging - WAN_2Mbit_IP139 (Adress)
    Zielübersetzung:   EDGE Server
    auch hier mit passender Firewall Regel

Effekt ist nun, dass man E-Mails an den EDGE Server schicken kann, aber
der EDGE Server keine E-Mail verschicken kann.
Ein Telnet vom EDGE Server nach außen zu einem anderen Mail Server auf
Port 25 kommt definitiv nicht durch.
Irgendwo muss wohl bei den Regeln in der Sophos ein kleiner Denkfehler liegen, da auf einer virtuellen TEST Sophos mit auch zwei WAN Leitungen und eigentlich den gleichen Regeln von dem virtuellen SBS2011 ein Telnet ins Internet auf Port 25 zu einem anderen Mail Server funktioniert.
Falls jemand eine Idee hätte wo denn der Denkfehler sein könnte würde mir das sehr weiterhelfen.
Noch erwähnen wollte ich, dass momentan der derzeitige IST Stand beim Wechsel auf die Sophos erhalten bleibt und dann in einem weiteren Schritt der EDGE Server von der Sophos als E-Mail Proxy abgelöst wird.

Und am Rande eine Frage in die Runde: gibt es für die Sophos denn eventuell auch eine "angenehmere" Art der Darstellung innerhalb der Logfiles? Die TMG2010 hat zwar nur eine einzige Logfunktion aber die zeigt einem sofort und so gesehen sehr übersichtlich die Datenpakete mit den Infos:  Quell IP - Ziel IP - Port - matching rule - allow/deny.......

Über einen guten Tipp wo mein Denkfehler im Regelwerk steckt
würde ich mich freuen, damit die Sophos auch demnächst die
TMG2010 dauerhaft ersetzen kann.

B. Giggenbach


This thread was automatically locked due to age.
Parents
  • 0
    ...oder als andere Fragestellung .... könnte es sein dass sich eine eingehende DNAT Regel und eine ausgehende SNAT Regel gegenseitig in die Quere kommen?

    .....weil vom Internet aus kann man eine Telnetverbindung mit Port 25 zu unserem Exchange 
    EDGE Server aufbauen, was dafür spricht dass eigentlich die Datenpakete ja von extern zu
    EDGE Server durchgelassen werden...... Was die Sache ein wenig seltsam erscheinen lässt...... 

    .....beim Schreiben kommen dann meistens weitere Ideen......Wenn das ausgehende Datenpaket von
    einer Regel durchgelassen wurde, wer oder was in einer Firewall kümmert sich dann darum
    wie die Antwort auf ein beantwortetes Datenpaket behandelt wird.....

    Was gäbe es noch für eine Möglichkeit - eventuell mit nur einer NAT Regel 
    die Datenpakete - wenn E-Mails aus dem Internet angeliefert werden an den 
    Exchange EDGE Server zu leiten und im Falle des E-Mail Versandes den Traffic von
    DMZ nach Extern über eine bestimmte WAN Schnittstelle und dort auch noch über
    eine der zusätzlichen öffentlichen IP Adressen zu verschicken?
Reply
  • 0
    ...oder als andere Fragestellung .... könnte es sein dass sich eine eingehende DNAT Regel und eine ausgehende SNAT Regel gegenseitig in die Quere kommen?

    .....weil vom Internet aus kann man eine Telnetverbindung mit Port 25 zu unserem Exchange 
    EDGE Server aufbauen, was dafür spricht dass eigentlich die Datenpakete ja von extern zu
    EDGE Server durchgelassen werden...... Was die Sache ein wenig seltsam erscheinen lässt...... 

    .....beim Schreiben kommen dann meistens weitere Ideen......Wenn das ausgehende Datenpaket von
    einer Regel durchgelassen wurde, wer oder was in einer Firewall kümmert sich dann darum
    wie die Antwort auf ein beantwortetes Datenpaket behandelt wird.....

    Was gäbe es noch für eine Möglichkeit - eventuell mit nur einer NAT Regel 
    die Datenpakete - wenn E-Mails aus dem Internet angeliefert werden an den 
    Exchange EDGE Server zu leiten und im Falle des E-Mail Versandes den Traffic von
    DMZ nach Extern über eine bestimmte WAN Schnittstelle und dort auch noch über
    eine der zusätzlichen öffentlichen IP Adressen zu verschicken?
Children
No Data
Cookie Information Banner