И снова DMZ
-
Есть сеть 192.10.10.0 в которой находится почтовый серевер 192.168.10.7. Доступ локальных ПК в интернет организован через прокси. Настроен порт форвардинг портов 25 и 443 на почтовый сервер. Локальные ПК используя клиенты или браузер заходят по адресу 192.168.10.7 для отправки и получения сообщений. В такой конфигурации есть ряд недостатков. Во первых клиенты которые заходят через браузер сталкиваются с проблемой недействительного сертификата. Во вторых проброс портов на ПК в локальной сети не есть хорошая практика.
Суть заморочки сделать так чтобы локальные ПК ходили на веб интерфейс почты по реальному (внешнему IP - 95.95.95.95), чтобы избавится от проблемы с сертификатом, в то же время ограничить доступ с почтового хоста в локальную сеть.Интерфейсы:
WAN 95.95.95.95 mail.example.com
LAN 192.168.10.10
DMZ 192.168.20.1
Почтовый сервер 192.168.20.2
ПК администратора 192.168.10.12Разрешить 192.168.10.12 доступ к 192.168.20.2 (Администрирование)
Разрешить локальной сети 192.168.10.0 доступ к 192.168.20.2 на 143 порт (Работа клиентов с почтой)
Разрешить 192.168.20.2 доступ в Интернет
Зарпретить 192.168.20.2 доступ к локальной сети 192.168.10.0
Разрешить напрямую доступ к 192.168.20.2 по портам 25,443,80 (SMTP, веб доступ HTTPS, обновление Lets Encrypt сертификатов по 80 порту)DMZ rules:
Type ID Proto Source Port Destination Port Gateway Queue Schedule Description
Allow TCP/UDP 192.168.20.2 * ! LAN_NET * * none Разрешить 192.168.20.2 доступ в Интернет исключая локальную сеть 192.168.10.0 (LAN_NET Allias)
Block * * * * * * none Block allLAN rules
Type ID Proto Source Port Destination Port Gateway Queue Schedule Description
Allow TCP/UDP 192.168.10.12 * 192.168.20.2 * * none Разрешить 192.168.10.12 доступ к 192.168.20.2
Allow TCP/UDP LAN_NET * 192.168.20.2 143 * none Разрешить локальной сети 192.168.10.0 доступ к 192.168.20.2 на 143 порт
Block * * * * * * none Block allWAN rules
Protocol Source Port Destination Port Gateway Queue Schedule Description
х RFC 1918 networks * * * * * Block private networks
х Reserved Not assigned by IANA * * * * * Block bogon networks
IPv4 TCP * * 192.168.20.2 25 (SMTP) * none NAT Mail SMTP port forward
IPv4 TCP * * 192.168.20.2 443 (HTTPS) * none NAT Mail HTTPS port forward
IPv4 TCP * * 192.168.20.2 80 (HTTP) * none NAT Mail HTTP port forwardNAT Port forward
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
WAN TCP * * WAN address 25 192.168.20.2 25 Разрешить напрямую доступ к порту 25
WAN TCP * * WAN address 443 192.168.20.2 443 Разрешить напрямую доступ к порту 443
WAN TCP * * WAN address 80 192.168.20.2 80 Разрешить напрямую доступ к порту 80Правильно ли написаны правила? Нужно ли дополнительно настраивать роутинг между сетями?
-
Добрый
@ultraДоступ локальных ПК в интернет организован через прокси
...
чтобы избавится от проблемы с сертификатом, в то же время ограничить доступ с почтового хоста в локальную сеть.-
Почему у вас сертификат самоподписанный? В чем проблема получить даром от Let's Encrypt-а?
Настройте раз через certbot и радуйтесь. Обновляется автоматом через cron. -
Прокси - прозрачный? На данном этапе уже не требуется устанавливать сертификат пол-лям явно. Достаточно создать CA на пф и правильно настроить сквид.
В закладки:
https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3
https://www.youtube.com/watch?v=5FeEwVx6qUs -
Настройте сквид так, чтобы хождение на локальн. адреса было мимо него. Это возможно.
P.s. Насчет почты. Работаю над связкой Postfix + Dovecot + Postfix Admin + Adminer + Rspamd + SOGo + Apache Solr + Apache Tika + Tesseract OCR. Вкратце - открытая почтовая система с мгновенным поиском по вложениям c распознаванием текста вложений из картинок, pdf (с OCR и без), документов формата MS, opendocument, вложений в архивах и т.д. на любом языке. С привязкой к LDAP и без. Если кому интересно - пишите.
P.p.s. Open Semantic Search https://www.opensemanticsearch.org/
Как использовать. Для непонятливых.
У вас есть файлопомойка\шара для пол-лей. С тысячами документов в различн. форматах. Установив ПО выше по ссылке и натравив это ПО на вашу шару вы получаете возможность мгновенного поиска по этим файлам. Фактически независимо от формата и языков этих документов. С распознаванием текста на картинках.Уверен, что удобство подобного ПО переоценить сложно.
-
-
@werter said in И снова DMZ:
Прокси - прозрачный? На данном этапе уже не требуется устанавливать сертификат пол-лям явно. Достаточно создать CA на пф и правильно настроить сквид.
Не прозрачный. Я так понял что создав СА на пфсенсе и включив MITM SpliceAll, я получу в браузерах при посещении каждой https странички проблемы с самоподписным сертификатом?