И снова DMZ



  • Есть сеть 192.10.10.0 в которой находится почтовый серевер 192.168.10.7. Доступ локальных ПК в интернет организован через прокси. Настроен порт форвардинг портов 25 и 443 на почтовый сервер. Локальные ПК используя клиенты или браузер заходят по адресу 192.168.10.7 для отправки и получения сообщений. В такой конфигурации есть ряд недостатков. Во первых клиенты которые заходят через браузер сталкиваются с проблемой недействительного сертификата. Во вторых проброс портов на ПК в локальной сети не есть хорошая практика.
    Суть заморочки сделать так чтобы локальные ПК ходили на веб интерфейс почты по реальному (внешнему IP - 95.95.95.95), чтобы избавится от проблемы с сертификатом, в то же время ограничить доступ с почтового хоста в локальную сеть.

    Интерфейсы:
    WAN 95.95.95.95 mail.example.com
    LAN 192.168.10.10
    DMZ 192.168.20.1
    Почтовый сервер 192.168.20.2
    ПК администратора 192.168.10.12

    Разрешить 192.168.10.12 доступ к 192.168.20.2 (Администрирование)
    Разрешить локальной сети 192.168.10.0 доступ к 192.168.20.2 на 143 порт (Работа клиентов с почтой)
    Разрешить 192.168.20.2 доступ в Интернет
    Зарпретить 192.168.20.2 доступ к локальной сети 192.168.10.0
    Разрешить напрямую доступ к 192.168.20.2 по портам 25,443,80 (SMTP, веб доступ HTTPS, обновление Lets Encrypt сертификатов по 80 порту)

    DMZ rules:
    Type ID Proto Source Port Destination Port Gateway Queue Schedule Description
    Allow TCP/UDP 192.168.20.2 * ! LAN_NET * * none Разрешить 192.168.20.2 доступ в Интернет исключая локальную сеть 192.168.10.0 (LAN_NET Allias)
    Block * * * * * * none Block all

    LAN rules
    Type ID Proto Source Port Destination Port Gateway Queue Schedule Description
    Allow TCP/UDP 192.168.10.12 * 192.168.20.2 * * none Разрешить 192.168.10.12 доступ к 192.168.20.2
    Allow TCP/UDP LAN_NET * 192.168.20.2 143 * none Разрешить локальной сети 192.168.10.0 доступ к 192.168.20.2 на 143 порт
    Block * * * * * * none Block all

    WAN rules
    Protocol Source Port Destination Port Gateway Queue Schedule Description
    х RFC 1918 networks * * * * * Block private networks
    х Reserved Not assigned by IANA * * * * * Block bogon networks
    IPv4 TCP * * 192.168.20.2 25 (SMTP) * none NAT Mail SMTP port forward
    IPv4 TCP * * 192.168.20.2 443 (HTTPS) * none NAT Mail HTTPS port forward
    IPv4 TCP * * 192.168.20.2 80 (HTTP) * none NAT Mail HTTP port forward

    NAT Port forward
    If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
    WAN TCP * * WAN address 25 192.168.20.2 25 Разрешить напрямую доступ к порту 25
    WAN TCP * * WAN address 443 192.168.20.2 443 Разрешить напрямую доступ к порту 443
    WAN TCP * * WAN address 80 192.168.20.2 80 Разрешить напрямую доступ к порту 80

    Правильно ли написаны правила? Нужно ли дополнительно настраивать роутинг между сетями?



  • Добрый
    @ultra

    Доступ локальных ПК в интернет организован через прокси
    ...
    чтобы избавится от проблемы с сертификатом, в то же время ограничить доступ с почтового хоста в локальную сеть.

    1. Почему у вас сертификат самоподписанный? В чем проблема получить даром от Let's Encrypt-а?
      Настройте раз через certbot и радуйтесь. Обновляется автоматом через cron.

    2. Прокси - прозрачный? На данном этапе уже не требуется устанавливать сертификат пол-лям явно. Достаточно создать CA на пф и правильно настроить сквид.
      В закладки:
      https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3
      Youtube Video

    3. Настройте сквид так, чтобы хождение на локальн. адреса было мимо него. Это возможно.

    P.s. Насчет почты. Работаю над связкой Postfix + Dovecot + Postfix Admin + Adminer + Rspamd + SOGo + Apache Solr + Apache Tika + Tesseract OCR. Вкратце - открытая почтовая система с мгновенным поиском по вложениям c распознаванием текста вложений из картинок, pdf (с OCR и без), документов формата MS, opendocument, вложений в архивах и т.д. на любом языке. С привязкой к LDAP и без. Если кому интересно - пишите.

    P.p.s. Open Semantic Search https://www.opensemanticsearch.org/
    Как использовать. Для непонятливых.
    У вас есть файлопомойка\шара для пол-лей. С тысячами документов в различн. форматах. Установив ПО выше по ссылке и натравив это ПО на вашу шару вы получаете возможность мгновенного поиска по этим файлам. Фактически независимо от формата и языков этих документов. С распознаванием текста на картинках.

    Уверен, что удобство подобного ПО переоценить сложно.



  • @werter said in И снова DMZ:

    Прокси - прозрачный? На данном этапе уже не требуется устанавливать сертификат пол-лям явно. Достаточно создать CA на пф и правильно настроить сквид.

    Не прозрачный. Я так понял что создав СА на пфсенсе и включив MITM SpliceAll, я получу в браузерах при посещении каждой https странички проблемы с самоподписным сертификатом?


Log in to reply