Wie wird die Port-Sperre für die Ports 25 und 587 auf der Fritz!Box realisiert
Die Fritzbox erlaubt kaum Konfigurationen der Firewall. Aber für uns ist es essentiell, dass der ausgehende Mail-Verkehr unter Kontrolle ist.
Intern hat der Mail-Server die Adresse 192.168.100.14 und extern 212.101.19.97 . Gesperrt werden muss also jeglicher Verkehr, der nicht von 192.168.100.14 stammt und der nicht an 212.101.19.97 gerichtet ist. Somit kann unser Mail-Server überall hin versenden, und jeder kann von intern an unsere öffentliche Adresse senden.
Die Fritzbox muss folgendermassen konfiguriert werden:
- Konfiguration über's Web-Interface sichern
- Datei mit Editor öffnen
- den Befehl 'NoChecks=yes' im Kopfbereich eintragen (vor '**** CFGFILE:ar7.cfg')
- im Bereich 'dsldpconfig' findet sich unter 'highoutput' eine 'accesslist'.
Normalerweise steht da:highoutput { policy = "permit"; accesslist = "reject ip any 242.0.0.0 255.0.0.0", "deny ip any host 255.255.255.255", "reject ip any 169.254.0.0 255.255.0.0"; }Dies muss geändert werden inhighoutput { policy = "permit"; accesslist = "permit tcp host 192.168.100.14 any eq 25", "permit tcp any host 212.101.19.97 eq 25", "reject tcp any any eq 25", "reject tcp any any eq 587", "reject ip any 242.0.0.0 255.0.0.0", "deny ip any host 255.255.255.255", "reject ip any 169.254.0.0 255.255.0.0"; } - Konfiguration über's Web-Interface wiederherstellen
Erklärung
Die Abarbeitung der Regeln erfolgt sequenziell.
"permit tcp host 192.168.100.14 any eq 25" bedeutet, dass HAPI überall hin Mail versenden darf
"permit tcp any host 212.101.19.97 eq 25" bedeutet, dass von überall her an die fixe IP von APS Mail gesendet werden darf
"reject tcp any any eq 25" verbietet alle anderen Verbindungen zum Mail-Versand
"reject tcp any any eq 587" dito für Versand via Sonder-Port (Swisscom etc.)