Robert Arens
-
Gesamte Inhalte
49 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Robert Arens
-
-
Hallo,
Ich möchte verhindern, dass man per Telnet und SMTP einfach Postfächer zumüllt. Wenn ich beim Exchange 2003 Server den anonymen Zugriff verweiger, dann dürfte das doch nicht mehr klappen, oder? Vielleicht wäre es sogar besser nur speziellen Benutzer, z.B. für den Versand von Virenwarnungen den Zugriff zu erlauben.
Muss ich beim Verändern der Authentifizierung des virtuellen SMTP-Servers noch etwas berücksichtigen? Outlook dürfte davon doch nicht beeinflusst sein, oder?
Freundliche Grüße
Robert
-
Guten Morgen,
Eingerichtet hab ich das alles. Per Telnet auf den SMTP-Server komme ich auch. Nur ich möchte gerne mal sehen wie mich der Filter vor Angriffen schützt. So wie ich das verstanden habe prüft er Komandos und deren Längen. Aber mit einm simplen helo und zig Zeichen dahinter ließ er sich nicht aus der Ruhe bringen.
Freundliche Grüße
Robert
-
Hallo,
Ich habe einen ISA Server 2006. Dort ist eine Regel für eingehenden und ausgehenden SMTP-Datenverkehr angelegt und der SMTP-Filter aktiviert. Den Haken seh ich zwar, aber ich würde gerne wissen, wie ich testen kann, ob der ISA-Server auch wirklich meinen SMTP-Verkehr schützt.
Könnt Ihr mir dazu Tipps geben.
Freundliche Grüße
Robert
-
access-list 102 permit tcp xx.xx.xx.192 0.0.0.63 any eq 25
=> das funktioniert *freu*
Da ich ja Port 25 vom Router auf den Mailserver lege, ist es doch in der access-list egal, ob ich den Zielhost mit IP angebe, oder? Oder gibt es da noch Bedenken die ich jetzt übersehe?
Danke für die Hilfestellung!
Freundliche Grüße
Robert Arens
-
Hallo,
Ich habe einen 876 mit fester IP und einer statischen Route von Port 25 auf meinen Mailserver der in der DMZ steht. Klappt wunderbar. Jetzt nutze ich ein Mailrelay im Internet was zunächst die E-Mails auf Viren überprüft und mir dann die Mails weiterleitet. Es sollen also nur noch von den IPs des Providers Mails an mich übergeben werden.
access-list 102 permit tcp xx.xx.xx.192 0.0.0.63 host 192.168.1.1 eq 25
Funktioniert scheinbar nicht. Sobald ich das eingebe kommen keine E-Mails mehr
an. Kann mir jemand sagen wo ich den Denkfehler habe?
Freundliche Grüße
Robert Arens
-
Hallo,
Ich habe folgende Konstellation:
- virtuelle Maschine auf einem ESX-Server
- Windows XP Pro
- ein Nic hängt im Hausnetz
- ein Nic soll in der DMZ hängen
- Cisco VPN-Client installiert.
Der NIC in der DMZ soll nur zu Wartungsarbeiten aktiviert werden. Ich will also keine größeren Löcher in unsere Firewall reißen sondern nur bei Bedarf über die Maschine in unserer DMZ an die Server kommen oder etwas aus der DMZ heraus testen.
Alternativ möchte ich von dem PC VPN-Verbindungen aufbauen können was mich soweit ich das sehe mit dem selben Problem scheitern lässt.
Wenn ich nun die Karte zur DMZ aktiviere komme ich nicht mehr per RDP an meine Maschine. Ich gehe davon aus, dass es an den Routen liegt und meine Pakete einfach nicht mehr zu mir zurück finden. Ich habe es mit einer neuen Default route probiert, aber bin leider gescheitert.
route add 0.0.0.0 MASK 0.0.0.0 Hausnetz-Gateway Metric 3
Was kann ich tun?
Freundliche Grüße
Robert Arens
-
Der ätzende Fehler ist gefunden!!!!!
=> dialer remote-name meinrouter
Diese Zeile ist noch ein Relikt aus der Einwahl mit einem festen Benutzer / Passwort-Pärchen. Zwar prüft der 876er brav Benutzername und Passwort gegen den Radius, aber wenn dann der Benutzername nicht dem remote-name entspricht legt er einfach wieder auf. Klasse oder? Es läuft jetzt auf jeden Fall!!!
-
Mit no peer default ip address passiert genau das selbe. Ohne Radius hatte ich den Benutzer so eingetragen:
no ppp pap sent-username benutzername password 7 xxxxxxx
-
Leider nein. Ohne Radius konnte ich mich auch einwählen... Sehr merkwürdig. An der authorization kann es nicht liegen?
-
Fehler beim Client 619: Zu dem angegebenen Port ist keine Verbindung hergestellt.
Wenn ich einen falschen Benutzernamen oder Passwort eingebe, dann bekomme ich auch die richtige Fehlermeldung dazu. Das sehe ich auch im Debugging.
Nur warum lässt er mich keine Verbindung aufbauen *grübel*
-
RADIUS: NAS-Port [5] 6 30001
RADIUS: NAS-Port-Id [87] 8 "BRI0:1"
RADIUS: NAS-Port-Type [61] 6 ISDN [2]
RADIUS: Calling-Station-Id [31] 13 "xxxxxxxx"
RADIUS: Called-Station-Id [30] 8 "xxxxxxx"
RADIUS: Service-Type [6] 6 Framed [2]
RADIUS: NAS-IP-Address [4] 6 routerip
RADIUS: Received from id 1645/1 serverip:1812, Access-Accept, len 64
RADIUS: authenticator D3 BA 73 BF 64 8B 13 E8 - 03 76 E5 F9 E1 58 10 37
RADIUS: Framed-Protocol [7] 6 PPP [1]
RADIUS: Service-Type [6] 6 Framed [2]
RADIUS: Class [25] 32
RADIUS: 54 FB 06 34 00 00 01 37 00 01 C0 A8 64 33 01 C7 [T??4???7????d3??]
RADIUS: 09 A0 1B F9 4C AE 00 00 00 00 00 00 00 7C [????L????????|]
RADIUS(00000004): Received from id 1645/1
BR0:1 PPP: Received LOGIN Response PASS
BR0:1 PPP: Phase is FORWARDING, Attempting Forward
BR0:1 PPP: Phase is AUTHENTICATING, Authenticated User
BR0:1 PAP: O AUTH-ACK id 37 len 5
BR0:1 PPP: Phase is UP
BR0:1 IPCP: O CONFREQ [Closed] id 1 len 10
BR0:1 IPCP: Address routerip (0x0306C0A863FD)
BR0:1 CDPCP: O CONFREQ [Closed] id 1 len 4
BR0:1 PPP: Process pending ncp packets
%LINK-3-UPDOWN: Interface BRI0:1, changed state to down
%DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di2
BR0:1 PPP: Sending Acct Event[Down] id[4]
BR0:1 CDPCP: State is Closed
BR0:1 IPCP: State is Closed
BR0:1 PPP: Phase is TERMINATING
BR0:1 LCP: State is Closed
BR0:1 PPP: Phase is DOWN
-
%DIALER-6-BIND: Interface BR0:1 bound to profile Di2
%LINK-3-UPDOWN: Interface BRI0:1, changed state to up
%ISDN-6-CONNECT: Interface BRI0:1 is now connected to xxxxxxxxxx N/A
BR0:1 PPP: Using dialer call direction
BR0:1 PPP: Treating connection as a callin
BR0:1 PPP: Session handle[F4000002] Session id[2]
BR0:1 PPP: Phase is ESTABLISHING, Passive Open
BR0:1 LCP: State is Listen
%ISDN-6-LAYER2UP: Layer 2 for Interface BR0, TEI 66 changed to up
BR0:1 LCP: I CONFREQ [Listen] id 0 len 50
BR0:1 LCP: ACCM 0x00000000 (0x020600000000)
BR0:1 LCP: MagicNumber 0x42F375D8 (0x050642F375D8)
BR0:1 LCP: PFC (0x0702)
BR0:1 LCP: ACFC (0x0802)
BR0:1 LCP: Callback 6 (0x0D0306)
BR0:1 LCP: MRRU 1614 (0x1104064E)
BR0:1 LCP: EndpointDisc 1 Local
BR0:1 LCP: (0x131701E8290B5971EA4333832A8A4390)
BR0:1 LCP: (0xFCA57100000000)
BR0:1 PPP: Authorization required
BR0:1 LCP: O CONFREQ [Listen] id 1 len 14
BR0:1 LCP: AuthProto PAP (0x0304C023)
BR0:1 LCP: MagicNumber 0x1957F489 (0x05061957F489)
BR0:1 LCP: O CONFREJ [Listen] id 0 len 11
BR0:1 LCP: Callback 6 (0x0D0306)
BR0:1 LCP: MRRU 1614 (0x1104064E)
BR0:1 LCP: I CONFACK [REQsent] id 1 len 14
BR0:1 LCP: AuthProto PAP (0x0304C023)
BR0:1 LCP: MagicNumber 0x1957F489 (0x05061957F489)
BR0:1 LCP: I CONFREQ [ACKrcvd] id 1 len 43
BR0:1 LCP: ACCM 0x00000000 (0x020600000000)
BR0:1 LCP: MagicNumber 0x42F375D8 (0x050642F375D8)
BR0:1 LCP: PFC (0x0702)
BR0:1 LCP: ACFC (0x0802)
BR0:1 LCP: EndpointDisc 1 Local
BR0:1 LCP: (0x131701E8290B5971EA4333832A8A4390)
BR0:1 LCP: (0xFCA57100000000)
BR0:1 LCP: O CONFACK [ACKrcvd] id 1 len 43
BR0:1 LCP: ACCM 0x00000000 (0x020600000000)
BR0:1 LCP: MagicNumber 0x42F375D8 (0x050642F375D8)
BR0:1 LCP: PFC (0x0702)
BR0:1 LCP: ACFC (0x0802)
BR0:1 LCP: EndpointDisc 1 Local
BR0:1 LCP: (0x131701E8290B5971EA4333832A8A4390)
BR0:1 LCP: (0xFCA57100000000)
BR0:1 LCP: State is Open
BR0:1 PPP: Phase is AUTHENTICATING, by this end
BR0:1 LCP: I IDENTIFY [Open] id 2 len 18 magic 0x42F375D8 MSRASV5.00
BR0:1 LCP: I IDENTIFY [Open] id 3 len 19 magic 0x42F375D8 MSRAS-1-KEN
BR0:1 PAP: I AUTH-REQ id 37 len 20 from "benutzer"
BR0:1 PAP: Authenticating peer benutzer
BR0:1 PPP: Phase is FORWARDING, Attempting Forward
BR0:1 PPP: Phase is AUTHENTICATING, Unauthenticated User
BR0:1 PPP: Sent PAP LOGIN Request
RADIUS/ENCODE(00000004):Orig. component type = ISDN
RADIUS: AAA Unsupported Attr: interface [158] 6
RADIUS: 42 52 49 30 [bRI0]
RADIUS(00000004): Config NAS IP: 0.0.0.0
RADIUS/ENCODE(00000004): acct_session_id: 4
RADIUS(00000004): sending
RADIUS/ENCODE: Best Local IP-Address routerip for Radius-Server serverip
RADIUS(00000004): Send Access-Request to serverip:1812 id 1645/1, len 105
RADIUS: authenticator E7 58 40 5B 7A BF 17 87 - FF 3F 1B 4B FD E9 1F 69
RADIUS: Framed-Protocol [7] 6 PPP [1]
RADIUS: User-Name [1] 8 "benutzer"
RADIUS: User-Password [2] 18 *
-
Hallo,
Ich blicke langsam nicht mehr durch. Ich habe einen 876er auf dem ich eine ISDN-Einwahl ermöglichen möchte die gegen Radius prüft. Eine VPN Einwahl gegen Radius existiert und funktioniert bereits. Damit versuche ich meine Einwahl:
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 group radius local
aaa authentication ppp default group radius local
aaa authorization network sdm_vpn_group_ml_1 local
aaa authorization network default group radius local
!
aaa session-id common
!
isdn switch-type basic-net3
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
isdn point-to-point-setup
isdn answer1 xxxxx
ppp authentication pap chap ms-chap
!
!
interface Dialer2
ip unnumbered Vlan1
encapsulation ppp
dialer pool 2
dialer remote-name meinrouter
dialer-group 2
peer default ip address 192.168.99.200
ppp authentication pap chap ms-chap
!
radius-server host 192.168.100.51 auth-port 1812 acct-port 1813 timeout 20 key 7 xxxxxxx
Ich hoffe jemand kann mir etwas Licht ins Dunkel bringen.
Freundliche Grüße
Robert
-
Hallo,
Wir haben bei uns jetzt einen 876er Router der in unserer DMZ steht und für das Surfen und Mailen eine Internetverbindung per DSL aufbaut. Klappt soweit sehr gut. Jetzt habe ich bisher noch einen 1600 Router gehabt mit dem ich mich ins Firmennetzwerk per ISDN einwählen konnte. Kann ich diese Einwahlmöglichkeit auch mit dem 876 realisieren? Die Konfiguration müsste dann doch in etwa gleich sein.
Für einen Tipp wäre ich dankbar. Ich möchte ungern an einem produktiven Geräte Experimente durchführen :-)
Freundliche Grüße
Robert
-
Der ISA steht selbst in der DMZ. Er wird nur als Proxy und Reverse-Proxy genutzt. Ich befürchte aber, dass ich HBCI direkt erlauben muss. Mit Proxy wird das wohl zu umständlich :-(
-
Hallo,
Die Regel ist für alle Benutzer angelegt. Auf dem HBCI-Rechner ist nichts zusätzliches installiert worden.
Robert
-
Hallo,
Wir haben einen ISA 2006 als Webcache Proxy installiert. Dieser steht in unserer DMZ und hat von dort einen Router zum Internet. Im Hausnetz möchte ich Profi Cash dazu bewegen über den Proxy die Daten abzurufen. Als erstes bekam ich die Fehlermeldung, dass der genutzte Port für SSL nicht konfiguriert ist. Mit dem Skript von MS konnte ich den Port 3000 hinzufügen Managing Tunnel Port Ranges.
In den Firewallrichtlinien vom ISA habe ich Port 3000 von innen nach außen erlaubt. Wenn ich jetzt Profi Cash auf den Proxy einstelle, bekomme ich einen Fehler bei der Benutzeranmeldung. Egal in welcher Konstellation ich den Benutzer auch angebe, er scheitert.
In der Protokollierung vom ISA sehe ich, dass auch gad.hbci.de:3000 eine anonyme zugelassene Verbindung erstellt wird. Danach wird eine Verbindung ohne URL und Clientbenutzer initiiert und danach getrennt.
Wenn ich Profi Cash ohne Benutzerdaten den Proxy nutzen lasse, wird ein Dialog aufgemacht in dem ich die Daten bei der Verbindung eintragen muss.
Ich hoffe mir kann jemand helfen.
Freundliche Grüße
Robert Arens
-
Hallo,
Ich habe einen 876 Router. Hinter dem möchte ich einen Mailserver betrieben. Dafür würde ich gerne Port 25 auf eine feste Adresse weiterleiten. Kann mir jemand sagen, wie der Befehl dazu lautet? Bei Pixen kann ich mit static eine route eintragen. Aber beim Router habe ich kein Plan.
Bin für jede Hilfe dankbar!!
Freundliche Grüße
Robert Arens
-
Hallo,
Mehr ist das nicht? Ich dachte es wär wesentlich komplizierter von außen in die DMZ zu kommen.
-
Hallo,
Ich habe eine Pix 506 an die mehrere Pix 501 per Site-to-Site VPN gekoppelt sind. Die 506 stellt zudem eine DMZ bereit. Vom Hausnetz der 506 komme ich auf gewisse IPs und Ports in der DMZ. Das möchte ich von den Außenstellen auch. Da ich von den Außenstellen ins Hausnetz komme, müsste es doch auch möglich sein von den Außenstellen in die DMZ zu kommen.
Hintergrund ist ein ISA-Server, der in der DMZ steht und u.a. für ActiveSync zuständig ist.
Kann mir jemand einen Tipp geben, wie ich so etwas realisiere?
Freundliche Grüße
Robert Arens
-
Danke für den Hinweis bzgl. ESX.
APC hat mir zu den Ports das geschrieben:
The PCNS packets are on port 3052 UDP, the PCNS web interface is also on port 3052 but TCP, port 80 is used to register with the webcard during a PCNS client install, and port 80 is also used to send the UPS turn off command to the UPS when the last PCNS client shuts down. SNMP in general runs over UDP on ports 161 and 162.
-
Im Web gesucht habe ich auch. Bin aber nicht fündig geworden. Sonst würde ich hier nicht posten. Bin aber weiter fleißig am suchen und werde es hier auch posten, wenn ich etwas gefunden habe.
-
Ich glaube nicht, dass der ESX die Windowsmaschinen ausstellt. Generell wär es mir sehr lieb, wenn ich den Agent benutzen könnte. Dann habe ich auch die Möglichkeit zu bestimmen wann welche Maschine heruntergefahren wird.
Oder gibt es eine Möglichkeit im ESX-Server ein Verhalten zu definieren? An den traue ich mich bisher noch nicht ran.
Freundliche Grüße
Robert
-
Hallo,
Ich habe einen Windowsserver in meiner DMZ stehen. Dieser ist zwar eine virtuelle Maschine auf einem ESX-Server, soll aber trotzdem mitbekommen, wenn wir einen Stromausfall haben. Jetzt möchte ich gerne wissen auf welchen Ports die USV mit dem Agent auf dem Server spricht. Port 80 möchte ich nur ungerne freigeben, da ich damit
ja letztlich auch auf das Interface er USVs komme und die damit ausschalten kann.
Kann mir jemand einen Tipp geben?
Freundliche Grüße
Robert Arens
Exchange absichern
in MS Exchange Forum
Geschrieben
Hallo,
Ok. War etwas verkürzt. Mails kommen von einem Mailrelay in der DMZ. Das darf natürlich auch weiterhin Mails abgeben. Ich möchte nur nicht, dass Personen im Hausnetz einfach per Telnet Mails in die internen Postfächer legen können.
Freundliche Grüße
Robert