Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    И снова DMZ

    Russian
    2
    3
    265
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • U
      ultra last edited by ultra

      Есть сеть 192.10.10.0 в которой находится почтовый серевер 192.168.10.7. Доступ локальных ПК в интернет организован через прокси. Настроен порт форвардинг портов 25 и 443 на почтовый сервер. Локальные ПК используя клиенты или браузер заходят по адресу 192.168.10.7 для отправки и получения сообщений. В такой конфигурации есть ряд недостатков. Во первых клиенты которые заходят через браузер сталкиваются с проблемой недействительного сертификата. Во вторых проброс портов на ПК в локальной сети не есть хорошая практика.
      Суть заморочки сделать так чтобы локальные ПК ходили на веб интерфейс почты по реальному (внешнему IP - 95.95.95.95), чтобы избавится от проблемы с сертификатом, в то же время ограничить доступ с почтового хоста в локальную сеть.

      Интерфейсы:
      WAN 95.95.95.95 mail.example.com
      LAN 192.168.10.10
      DMZ 192.168.20.1
      Почтовый сервер 192.168.20.2
      ПК администратора 192.168.10.12

      Разрешить 192.168.10.12 доступ к 192.168.20.2 (Администрирование)
      Разрешить локальной сети 192.168.10.0 доступ к 192.168.20.2 на 143 порт (Работа клиентов с почтой)
      Разрешить 192.168.20.2 доступ в Интернет
      Зарпретить 192.168.20.2 доступ к локальной сети 192.168.10.0
      Разрешить напрямую доступ к 192.168.20.2 по портам 25,443,80 (SMTP, веб доступ HTTPS, обновление Lets Encrypt сертификатов по 80 порту)

      DMZ rules:
      Type ID Proto Source Port Destination Port Gateway Queue Schedule Description
      Allow TCP/UDP 192.168.20.2 * ! LAN_NET * * none Разрешить 192.168.20.2 доступ в Интернет исключая локальную сеть 192.168.10.0 (LAN_NET Allias)
      Block * * * * * * none Block all

      LAN rules
      Type ID Proto Source Port Destination Port Gateway Queue Schedule Description
      Allow TCP/UDP 192.168.10.12 * 192.168.20.2 * * none Разрешить 192.168.10.12 доступ к 192.168.20.2
      Allow TCP/UDP LAN_NET * 192.168.20.2 143 * none Разрешить локальной сети 192.168.10.0 доступ к 192.168.20.2 на 143 порт
      Block * * * * * * none Block all

      WAN rules
      Protocol Source Port Destination Port Gateway Queue Schedule Description
      х RFC 1918 networks * * * * * Block private networks
      х Reserved Not assigned by IANA * * * * * Block bogon networks
      IPv4 TCP * * 192.168.20.2 25 (SMTP) * none NAT Mail SMTP port forward
      IPv4 TCP * * 192.168.20.2 443 (HTTPS) * none NAT Mail HTTPS port forward
      IPv4 TCP * * 192.168.20.2 80 (HTTP) * none NAT Mail HTTP port forward

      NAT Port forward
      If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
      WAN TCP * * WAN address 25 192.168.20.2 25 Разрешить напрямую доступ к порту 25
      WAN TCP * * WAN address 443 192.168.20.2 443 Разрешить напрямую доступ к порту 443
      WAN TCP * * WAN address 80 192.168.20.2 80 Разрешить напрямую доступ к порту 80

      Правильно ли написаны правила? Нужно ли дополнительно настраивать роутинг между сетями?

      werter 1 Reply Last reply Reply Quote 0
      • werter
        werter @ultra last edited by werter

        Добрый
        @ultra

        Доступ локальных ПК в интернет организован через прокси
        ...
        чтобы избавится от проблемы с сертификатом, в то же время ограничить доступ с почтового хоста в локальную сеть.

        1. Почему у вас сертификат самоподписанный? В чем проблема получить даром от Let's Encrypt-а?
          Настройте раз через certbot и радуйтесь. Обновляется автоматом через cron.

        2. Прокси - прозрачный? На данном этапе уже не требуется устанавливать сертификат пол-лям явно. Достаточно создать CA на пф и правильно настроить сквид.
          В закладки:
          https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3
          https://www.youtube.com/watch?v=5FeEwVx6qUs

        3. Настройте сквид так, чтобы хождение на локальн. адреса было мимо него. Это возможно.

        P.s. Насчет почты. Работаю над связкой Postfix + Dovecot + Postfix Admin + Adminer + Rspamd + SOGo + Apache Solr + Apache Tika + Tesseract OCR. Вкратце - открытая почтовая система с мгновенным поиском по вложениям c распознаванием текста вложений из картинок, pdf (с OCR и без), документов формата MS, opendocument, вложений в архивах и т.д. на любом языке. С привязкой к LDAP и без. Если кому интересно - пишите.

        P.p.s. Open Semantic Search https://www.opensemanticsearch.org/
        Как использовать. Для непонятливых.
        У вас есть файлопомойка\шара для пол-лей. С тысячами документов в различн. форматах. Установив ПО выше по ссылке и натравив это ПО на вашу шару вы получаете возможность мгновенного поиска по этим файлам. Фактически независимо от формата и языков этих документов. С распознаванием текста на картинках.

        Уверен, что удобство подобного ПО переоценить сложно.

        U 1 Reply Last reply Reply Quote 0
        • U
          ultra @werter last edited by ultra

          @werter said in И снова DMZ:

          Прокси - прозрачный? На данном этапе уже не требуется устанавливать сертификат пол-лям явно. Достаточно создать CA на пф и правильно настроить сквид.

          Не прозрачный. Я так понял что создав СА на пфсенсе и включив MITM SpliceAll, я получу в браузерах при посещении каждой https странички проблемы с самоподписным сертификатом?

          1 Reply Last reply Reply Quote 0
          • First post
            Last post