Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 18489 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Joining My DMZ server to my Internal AD domian.

Cruz
Greetings

I am using ASL 5; I have 3 interfaces on my Astaro box, Internal, DMZ and External. I have a packet filter securing traffic from the DMZ to the internal network… 

I do want to be able to join my DMZ server to my Internal Active Directory domain, and create a front end mail server that will pass mail to the internal server.

I’m having problems finding the correct ports I need to open from the DMZ to the internal network in order to make this happen, I know port 25 for mail, but for AD I’m at a lost…. Please help!!!


Thanks….

Newbie to ASL


This thread was automatically locked due to age.
Parents
  • 0
    In words it is difficult for me to express how dangerous a configuration like this really is.  By doing this you have compromised the entire existence of your firewall and essentially given a would be attacker a direct route through your firewall and into your LAN unless you are taking extra precautions to protect your DMZ computers.

    I strongly recommend that if you absolutely cannot live without having your external mail server in the AD tree, that you put it on the LAN with the rest of the AD machines and only forward the port you need(port 25) from the external interface to the mail server on the LAN.

    This gives an attacker a much smaller window to aim for.  Good luck.
  • 0 in reply to mboughton
    I might be misunderstanding what you are suggesting, but I disagree with moving the server into the LAN.  While I don't disagree about the dangers of opening that many ports between the DMZ and Domain controller, if the DMZ server is compromised, it only has direct access to the domain controllers, and on a limited number of ports.

    If the server is moved into the LAN and port 25 forwarded to the mail server then if the box is compromised, the attacker will have complete and open access to the LAN.  The mail server is still better being in the DMZ because it requires the mail server to be hacked, then launch a hack from the DMZ server to the domain controller to have access to the internal network.

    Then again, if you are suggesting using SMTP (and POP3) proxy then I just typed a lot of stuff for nothing  [:$]
Reply
  • 0 in reply to mboughton
    I might be misunderstanding what you are suggesting, but I disagree with moving the server into the LAN.  While I don't disagree about the dangers of opening that many ports between the DMZ and Domain controller, if the DMZ server is compromised, it only has direct access to the domain controllers, and on a limited number of ports.

    If the server is moved into the LAN and port 25 forwarded to the mail server then if the box is compromised, the attacker will have complete and open access to the LAN.  The mail server is still better being in the DMZ because it requires the mail server to be hacked, then launch a hack from the DMZ server to the domain controller to have access to the internal network.

    Then again, if you are suggesting using SMTP (and POP3) proxy then I just typed a lot of stuff for nothing  [:$]
Children
  • 0 in reply to Moby
    you will probably also find that some of the ports you need are dynamically allocated. Which will make it even more complicated. (although it should work most of the time).

    In simple terms the configuration you propose is not secure. This is not yours or Astaros fault it m$ implementation of AD.

    The most secure and flexible solution is to house your mailserver on the LAN and buy a low spec server for you DMZ. INstall a minimal secure distro runing only EXIM on this box.