---

Setup:
INTERNET
|
PIX
|
LAN - Mailserver
|
Klinter


klienters SMTP adresse: diverse SMTP servere som er åbne

Ønske:
At få ALT trafik, fra klienterne, på port 25 redirected til en lokal SMTP
server som så står for at sende mailene videre til SMTP.mail.dk (efter der
er foretaget virusscan + content scan).. kan ovenstående lade sig gøre?

Jeg kan selvfølgelig godt ændre smtp adresserne på klienterne, men anser det
for at være et spørgsmål om tid, inden brugerne finder på at skifte til
andre smtp servere og derved undgå at der laves content filtrering og virus
scan..


--
Henrik



PS:
Brugerne er gjort opmærksom på at udgående mail scannes både for virus og
indhold.

---

Beklager!! jeg har fede fingre. Firewall'en er af TYPEN:
CISCO PIX515E

---

On Mon, 3 May 2004 03:16:46 -0700, "Henrik Holm Jensen"
<henrik.holm@mil.dk> wrote:

> At få ALT trafik, fra klienterne, på port 25 redirected til en lokal SMTP
> server som så står for at sende mailene videre til SMTP.mail.dk (efter der
> er foretaget virusscan + content scan).. kan ovenstående lade sig gøre?

Du ønsker at opfange al udgående port 25-trafik og sende det til
en specifik server? Det mener jeg ikke, man kan på en PIX.

> Jeg kan selvfølgelig godt ændre smtp adresserne på klienterne, men anser det
> for at være et spørgsmål om tid, inden brugerne finder på at skifte til
> andre smtp servere og derved undgå at der laves content filtrering og virus
> scan..

Du lukker bare for al udgående SMTP bortset fra SMTP-trafik, der
kommer fra din content filtering server. Så er brugerne tvunget
til at bruge den server, du siger de skal bruge.

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:4obc90to0qhht6unl1sgvdcgsah2vumf5q@news.sunsite.dk...
| On Mon, 3 May 2004 03:16:46 -0700, "Henrik Holm Jensen"
| <henrik.holm@mil.dk> wrote:
|
| > At få ALT trafik, fra klienterne, på port 25 redirected til en lokal
SMTP
| > server som så står for at sende mailene videre til SMTP.mail.dk (efter
der
| > er foretaget virusscan + content scan).. kan ovenstående lade sig gøre?
|
| Du ønsker at opfange al udgående port 25-trafik og sende det til
| en specifik server?
Korrekt!

Det mener jeg ikke, man kan på en PIX.
Øv!

|
| > Jeg kan selvfølgelig godt ændre smtp adresserne på klienterne, men anser
det
| > for at være et spørgsmål om tid, inden brugerne finder på at skifte til
| > andre smtp servere og derved undgå at der laves content filtrering og
virus
| > scan..
|
| Du lukker bare for al udgående SMTP bortset fra SMTP-trafik, der
| kommer fra din content filtering server. Så er brugerne tvunget
| til at bruge den server, du siger de skal bruge.
Du har ret, syntes bare den anden løsning er lidt mere elegant...


|
| -A

---

On Mon, 3 May 2004 06:10:34 -0700, "Henrik Holm Jensen"
<henrik.holm@mil.dk> wrote:

>> Du lukker bare for al udgående SMTP bortset fra SMTP-trafik, der
>> kommer fra din content filtering server. Så er brugerne tvunget
>> til at bruge den server, du siger de skal bruge.

> Du har ret, syntes bare den anden løsning er lidt mere elegant...

Det synes jeg ikke. For mig er det basal sikkerhed, at man kun
lukker op for det trafik, som man positivt ved, der er brug for,
og det er typisk ikke, at de forskellige brugere kan sende mail
udenom den server, man ønsker at bruge til formålet.

-A

---

"Henrik Holm Jensen" <henrik.holm@mil.dk> wrote in message
news:40961aed$0$420$edfadb0f@dread14.news.tele.dk...
> Setup:
> INTERNET
> |
> PIX
> |
> LAN - Mailserver
> |
> Klinter
>
>
> klienters SMTP adresse: diverse SMTP servere som er åbne
>
> Ønske:
> At få ALT trafik, fra klienterne, på port 25 redirected til en lokal
SMTP
> server som så står for at sende mailene videre til SMTP.mail.dk (efter
der
> er foretaget virusscan + content scan).. kan ovenstående lade sig
gøre?
>

Med lidt hjælp fra Google ...

******
http://www.hamdard.net.pk/~faisal/whitepapers/conftproxy.pdf
Step 6 Using Cisco Router to Redirect Internet Traffic
The last step in making this transparent proxy work is redirecting
traffic from your gateway router to proxy. Firstly we define an access
list and then apply it to the router's interface which is connected to
the dial-up users. Applying the access list on this interface will
definitely be seen and proved as a bandwidth saver. The router
configuration will look something like this:

interface ethernet0/1
ip policy route-map transparent
!
access-list 110 permit tcp 201.135.22.0 0.0.0.255 any eq www (burde
kunne ændres til smtp)
route-map transparent permit 10
match ip address 110
set ip default next-hop 62.31.52.58
!
This defines the next hop to 62.31.52.58 (the proxy server) for web
traffic, which is a server (Linux Red Hat) running transparent proxy.
Now, whenever an IP packet with destination port 80 enters the router's
Ethernet (Ethernet0/1), it is sent to IP address 62.31.52.58. It is the
responsibility of this Linux system to send it to the proxy server
running locally on the server.
When this is done, the redirection of traffic can be checked using the
show route-map and show ip access-list 110 commands. An increasing
number of packets and access-list matches shows that IP packets with
port 80 are being redirected to the Linux machine.

*****
Fra denne side:
http://www.linux-sec.net/Firewall/HowTo/

ReDirect all SMTP traffic
http://www.sans.org/rr/papers/index.php?id=586 (PIX config eks. i
slutningen)


-- Søren

---

On Mon, 3 May 2004 16:06:07 +0200, "Soren Rathje"
<soren%lolle.org@spam.me> wrote:

>> At få ALT trafik, fra klienterne, på port 25 redirected til en lokal
>> SMTP server som så står for at sende mailene videre til SMTP.mail.dk
>> (efter der er foretaget virusscan + content scan).. kan ovenstående
>> lade sig gøre?

> Med lidt hjælp fra Google ...

Det du citerer handler om PBR på en IOS-router. En PIX er ikke en
IOS-router.

Desuden forudsætter brug af PBR, at den server, man redirigerer
til, er i stand til at fatte, hvad den skal gøre med det. (En
mail-scanner vil kun kunne det, hvis den er den type, der kan
køre transparent).

> ReDirect all SMTP traffic
> http://www.sans.org/rr/papers/index.php?id=586 (PIX config eks. i
> slutningen)

I det eksempel redirigerer PIX'en ikke noget.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:mdbd90l6aqashd6cb89vs2qnc1n0vl650d@news.cybercity.dk...
> On Mon, 3 May 2004 16:06:07 +0200, "Soren Rathje"
> <soren%lolle.org@spam.me> wrote:
>
> Det du citerer handler om PBR på en IOS-router. En PIX er ikke en
> IOS-router.
>

Det kan der være noget om..

> Desuden forudsætter brug af PBR, at den server, man redirigerer
> til, er i stand til at fatte, hvad den skal gøre med det. (En
> mail-scanner vil kun kunne det, hvis den er den type, der kan
> køre transparent).
>

http://bent.latency.net/smtpprox/ fungerede fint på en Solaris 8, Sun
Netra X1, eftersom den er skrevet i Perl burde den også kunne virke på
Windoze..

-- Søren