Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 18487 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Joining My DMZ server to my Internal AD domian.

Cruz
Greetings

I am using ASL 5; I have 3 interfaces on my Astaro box, Internal, DMZ and External. I have a packet filter securing traffic from the DMZ to the internal network… 

I do want to be able to join my DMZ server to my Internal Active Directory domain, and create a front end mail server that will pass mail to the internal server.

I’m having problems finding the correct ports I need to open from the DMZ to the internal network in order to make this happen, I know port 25 for mail, but for AD I’m at a lost…. Please help!!!


Thanks….

Newbie to ASL


This thread was automatically locked due to age.
  • 0
    Well, If you really want to allow all traffic needed for AD from the DMZ to the trusted network refer to  this  for which ports need to be opened. You may not need all these ports opened...it depends on what you are trying to do, but this will get you started.

    But, I would really question why a front-end e-mail server would need AD access, and if you have looked into the Astaro SMTP proxy to act as a front-end, not to expose your 'real' mail server to the world. I do not know exactly what you are trying to accomplish (possibly OWA), but I would not like opening all those ports from the DMZ to my trusted network.
  • 0
    This are the ports that I have in an existing rule, but I'm not positive if every single one of them is required for Windows.  Use at your own risk  [;)]

    UDP 53      (DNS)
    UDP 88      (KPassword)
    UDP 137    (NetBIOS Name)
    UDP 138    (NetBIOS Datagram)
    UDP 389    (LDAP)
    UDP 750    (Kerberos)

    TCP 53      (DNS)
    TCP 88      (KPassword)
    TCP 135    (NetBIOS over TCP)
    TCP 139    (NetBIOS Session)
    TCP 389    (LDAP)
    TCP 445    (CIFS)
    TCP 636    (LDAP over SSL)
    TCP 750    (Kerberos)
    TCP 1026  (Active Directory)
    TCP 1512  (WINS)
    TCP 3268  (LDAP Global Catalog)
    TCP 3269  (LDAP GC over SSL)
  • 0 in reply to Moby
    THAT Worked!!!! so now Im trying to join my front end mail server to the back end mail server. I get an error stating  'error while trying to connect to the schema master unable to find forest', I should'nt have a problem since I was able to join the domin right? If not what other ports do I need to open???
  • 0 in reply to Moby
    Intresting, If this is a more secure way for mail then I would want to learn more about it. I'm sure Ill find it in the manual for ASL 5, but do you have other refrences I can look at?
  • 0 in reply to Cruz
    Sorry for the late reply.  I've been out of the country for about 2 weeks.

    I'm not sure what to tell you about joining your front-end and back-end server, as I'm not sure what exactly you are trying to do.  Is this some sort of Microsoft Exchange connection between these two servers?
  • 0
    In words it is difficult for me to express how dangerous a configuration like this really is.  By doing this you have compromised the entire existence of your firewall and essentially given a would be attacker a direct route through your firewall and into your LAN unless you are taking extra precautions to protect your DMZ computers.

    I strongly recommend that if you absolutely cannot live without having your external mail server in the AD tree, that you put it on the LAN with the rest of the AD machines and only forward the port you need(port 25) from the external interface to the mail server on the LAN.

    This gives an attacker a much smaller window to aim for.  Good luck.
  • 0 in reply to mboughton
    MS recommends using IPSEC VPN to communicate between AD boxes in this situation.  A secure tunnel is much safer.
  • 0 in reply to mboughton
    I might be misunderstanding what you are suggesting, but I disagree with moving the server into the LAN.  While I don't disagree about the dangers of opening that many ports between the DMZ and Domain controller, if the DMZ server is compromised, it only has direct access to the domain controllers, and on a limited number of ports.

    If the server is moved into the LAN and port 25 forwarded to the mail server then if the box is compromised, the attacker will have complete and open access to the LAN.  The mail server is still better being in the DMZ because it requires the mail server to be hacked, then launch a hack from the DMZ server to the domain controller to have access to the internal network.

    Then again, if you are suggesting using SMTP (and POP3) proxy then I just typed a lot of stuff for nothing  [:$]
  • 0 in reply to Moby
    you will probably also find that some of the ports you need are dynamically allocated. Which will make it even more complicated. (although it should work most of the time).

    In simple terms the configuration you propose is not secure. This is not yours or Astaros fault it m$ implementation of AD.

    The most secure and flexible solution is to house your mailserver on the LAN and buy a low spec server for you DMZ. INstall a minimal secure distro runing only EXIM on this box.
  • 0
    Cruz,

    Make sure you have a rule set for your front end Exchange server in the firewall to block all traffic to it from the internet that isn't something that the machine is supposed to be doing.  (i.e. block everything but OWA if it is for OWA access)  If the machine is just for SMTP relay, I'd use ASL instead.  

    If you have to have a front end server that is part of your AD, make sure that server gets its OS updates soonest.  If it is compromised then the attacker has all of your AD info at his fingertips.