Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 894 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Proxy - listens on wrong addresses

hawk
Hi,

I have the follwoing config:

eth0 - internal net
eth1 - world
eth2 - dmz

Beneath other thins I like to apply astaro as a smtp proxy between the world and the dmz. I have 7 official ip-addresses which are setup as follows

myhost1 (Standard ethernet interface) on eth1            n.n.n.5 / BC / GW
myhost2 (Additional address on ethernet interface)       n.n.n.3 / BC / GW
myhost3 (Additional address on ethernet interface)       n.n.n.1 / BC / GW
myhost4 (Additional address on ethernet interface)       n.n.n.2 / BC / GW
(the other four adresses are not in use by now)

why answers the asg (yes i use a appliance) to all four ip addresses when the following command is invoked from a hosts connected to the internet:

telnet n.n.n.5 25
telnet n.n.n.3 25
telnet n.n.n.1 25
telnet n.n.n.2 25

That's a feast for port-scanners. How can I accomplish that asg only answers to ONE of the above addresses.

Thanks.


This thread was automatically locked due to age.
  • 0
    I am taking it that your SMTP Proxy is set in transparent mode. In "Skip Source/Destination networks" you can specify the Aliased addresses you mentioned above. These addresses will not be proxied.

    Best regards,

    Dayne
  • 0 in reply to dayne
    Thanks dayne,

    yes the smtp proxy is in transparent mode.

    Regardless of which adresse(s) is(are) listed in the "Skip Source/Destination networks" on all additional ips I get an answer when telnet-ing to port 25 from "the world". Any other idea.
  • 0 in reply to hawk
    That's a feast for port-scanners. How can I accomplish that asg only answers to ONE of the above addresses.


    Astaro will detect port scans and will drop the packets automatically. Try it at grc.com and you won't see your open ports. When you connect to a single port over and over that is not considered a port scan.

    By default when you turn on smtp proxy, astaro adds a rule

    CONFIRMED  tcp  --  anywhere             anywhere            tcp spts:tcpmux:65535 dpt:smtp CONFIRMED 

    this is by design and doesn't necessarily hurt your firewall against port scanners on different IPs since they are essentially scanning the same device. 

    Now for your question about turning it off. 
    Create a network definition, we will call it UnusedInternalIp (any Ip that you will never use on your internal LAN (non routable). Now lets say the interface you don't want smtp listening is n.n.n.2 (myhost4). Go to network -->nat/masq and add a new dnat/snat rule with src any, destination myhost4 service smtp change src none change destination UnusedInternalIp.

    All your smtp requests would be forwarded to that address now since NAT/Masq takes priority over everything else and essentially the packet would be dropped.

    Not the cleanest way but it will work for your purposes.

    HTH[:D]
  • 0 in reply to Billybob
    Ah,

    half the way to a teergrube. I will try that. Thanks
Cookie Information Banner