Ayuda configuración cortafuegos para correo
Me gustaría si alguien me pudiese ayudar, en el siguiente tema: Tengo un cortafuegos el Tiny, y quisiera que alguien me dijese como tengo que configurarlo, para controlar las entradas y salidas del correo, ya que me viene en ingles y no tengo ni idea, le he dado acceso directo, al outlook, pero luego dentro de este me dice "local endpoint" "port type" "port number" "remote endpoint" y no se que parámetros ponerle, unos me dicen algo del puerto 25, otros el 80 otros el 110, gracias por vuestra ayuda.- Saludos
1 Respuesta
Respuesta
Hablando de puertos y TCP.
Los puertos de TCP son como los atracaderos de los puertos normales, sirven para poder establecer y localizar las comunicaciones.
Hay 65535 puertos en cada máquina, varios de ellos están pre-establecidos para que programas determinados reciban los datos por ellos, ejemplos:
TELNET usa el puerto 23 por defecto.
HTTP usa el puerto 80.
SMTP (simple Mail Transfer Protocol) usa el 25.
POP (Post Office Protocol) usa el 110.
Esto quiere decir que si tienes un servidor de correo, éste permite el envío cuando te conectas a su puerto 25 (SMTP), permite bajar correo cuando te conectas a su puerto 110(POP), te abre una sesión TELNET si te conectas al puerto 23 y te muestra contenidos Web por http si te conectas al puerto 80.
Éstos son sólo algunos puertos, hay miles de puertos pre-asignados. Por ejemplo, Messanger de Yahoo usa el 1243, el iRC el 6667, FTP el 21, NetBus (un virus troyano) el 666... Y así miles de ellos.
Si tu quieres proteger tu red con un firewall, debes configurar la escucha para conexiones de envío en el 25, y para bajar correo en el 110.
Los puntos LOCALes son los puertos en tu propia red interna, lo que quiere decir que MAPEA a direcciones externas, es decir:
A quiere conectar con B, que es servidor de correo (25 y 110 abiertos).
Si resulta que el Firewall F está en medio, por ejemplo F abre el 110 (POP) localmente, y lo redirecciona a B.110 que es el servidor de POP.
Si cambiamos y abrimos el F.111 para bajar correo, estaremos incrementando la seguridad, pues la gente que no sepa escanear puertos no podrá conectarse a tu servidor de mail.
¿Ok?
Los puertos de TCP son como los atracaderos de los puertos normales, sirven para poder establecer y localizar las comunicaciones.
Hay 65535 puertos en cada máquina, varios de ellos están pre-establecidos para que programas determinados reciban los datos por ellos, ejemplos:
TELNET usa el puerto 23 por defecto.
HTTP usa el puerto 80.
SMTP (simple Mail Transfer Protocol) usa el 25.
POP (Post Office Protocol) usa el 110.
Esto quiere decir que si tienes un servidor de correo, éste permite el envío cuando te conectas a su puerto 25 (SMTP), permite bajar correo cuando te conectas a su puerto 110(POP), te abre una sesión TELNET si te conectas al puerto 23 y te muestra contenidos Web por http si te conectas al puerto 80.
Éstos son sólo algunos puertos, hay miles de puertos pre-asignados. Por ejemplo, Messanger de Yahoo usa el 1243, el iRC el 6667, FTP el 21, NetBus (un virus troyano) el 666... Y así miles de ellos.
Si tu quieres proteger tu red con un firewall, debes configurar la escucha para conexiones de envío en el 25, y para bajar correo en el 110.
Los puntos LOCALes son los puertos en tu propia red interna, lo que quiere decir que MAPEA a direcciones externas, es decir:
A quiere conectar con B, que es servidor de correo (25 y 110 abiertos).
Si resulta que el Firewall F está en medio, por ejemplo F abre el 110 (POP) localmente, y lo redirecciona a B.110 que es el servidor de POP.
Si cambiamos y abrimos el F.111 para bajar correo, estaremos incrementando la seguridad, pues la gente que no sepa escanear puertos no podrá conectarse a tu servidor de mail.
¿Ok?
Gracias sukiakuh por tu interés, he leído tu respuesta, pero debo ser un poco torpe, me he liado más, en efecto he cogido la esencia de lo que me dices, como funciona más o menos el tema, el problema, es lo que decía en mi pregunta, al ir al Tiny el cual me viene en ingles y trasladar tus explicaciones, me suena todo a chino, si me pudieras ayudar a configurarlo, lo agradecería, Saludos
Para controlar la entrada y salida de correo supongo que te refieres a los accesos que se hacen a tu máquina (que es un servidor de correo) o desde tu máquina (que se conecta a otro servidor de mail).
Para "controlar" el acceso a tu máquina(servidora de mail):
1.- Vete a Firewall Administration.
2.- Firewall/Advanced.
3.- ADD
4.- Description: "CONTROLAR EL CORREO"
5.- Protocol: TCP
6.- Direction: Incoming (Entrante) - Outgoing (Saliente)
¿Cuál quieres controlar?
A.- Entrante INCOMING.
A.1.- Local End Point: Single Port : 110
A.2.- Application: Any
A.3.- Remote endpoint (Ordenador que se te conecta):
A.4.- Any Address | Any Port
(Cualquier ordenador desde cualquier puerto).
A.5.- Rule valid: ALWAYS.
¿Ahora qué queremos que haga el Firewall?
: PERMIT : Permitirlo
: DENY: Denegarlo (No se podrá conectar a tu servidor local de correo).
: LOG: Guardar un registro de actividad cuando esto ocurra (LOG WHEN THIS RULE MATCH).
: Display alert... "Mostrar un mensaje en pantalla cuando esto ocurra".
Esto configuraría tu entrada de correo perfectamente: Que es cuando los usuarios se conectan a tu máquina para bajarse su correo.
Si colocas INCOMING y el puerto 25, controlarás también el envío a través de tu máquina servidora de correo.
En el caso 2, que te conectes a un servidor de fuera para enviar y recibir correo, sería en REMOTE ENDPOINT -> OUTGOING al puerto 110 para descargar y OUTGOING al puerto 25 para enviar.
Y tu local endpoint sería Any port / Any Application.
Para cada una de las cosas que he dicho necesitas una regla nueva (ADD):
1 regla para controlar la bajada de correo de los usuarios de tu máquina: INCOMING 110 (local).
2 regla para controlar el envío de correo de los usuarios desde tu máquina:
INCOMING 25 (local).
3 regla para controlar el envío desde tu máquina a una remota:
OUTGOING 25 (remote).
4 regla para controlar la bajada de correo desde tu maquina a un servidor remoto de mail:
OUTGOING 110 (remote).
¿Vale con eso?
Para "controlar" el acceso a tu máquina(servidora de mail):
1.- Vete a Firewall Administration.
2.- Firewall/Advanced.
3.- ADD
4.- Description: "CONTROLAR EL CORREO"
5.- Protocol: TCP
6.- Direction: Incoming (Entrante) - Outgoing (Saliente)
¿Cuál quieres controlar?
A.- Entrante INCOMING.
A.1.- Local End Point: Single Port : 110
A.2.- Application: Any
A.3.- Remote endpoint (Ordenador que se te conecta):
A.4.- Any Address | Any Port
(Cualquier ordenador desde cualquier puerto).
A.5.- Rule valid: ALWAYS.
¿Ahora qué queremos que haga el Firewall?
: PERMIT : Permitirlo
: DENY: Denegarlo (No se podrá conectar a tu servidor local de correo).
: LOG: Guardar un registro de actividad cuando esto ocurra (LOG WHEN THIS RULE MATCH).
: Display alert... "Mostrar un mensaje en pantalla cuando esto ocurra".
Esto configuraría tu entrada de correo perfectamente: Que es cuando los usuarios se conectan a tu máquina para bajarse su correo.
Si colocas INCOMING y el puerto 25, controlarás también el envío a través de tu máquina servidora de correo.
En el caso 2, que te conectes a un servidor de fuera para enviar y recibir correo, sería en REMOTE ENDPOINT -> OUTGOING al puerto 110 para descargar y OUTGOING al puerto 25 para enviar.
Y tu local endpoint sería Any port / Any Application.
Para cada una de las cosas que he dicho necesitas una regla nueva (ADD):
1 regla para controlar la bajada de correo de los usuarios de tu máquina: INCOMING 110 (local).
2 regla para controlar el envío de correo de los usuarios desde tu máquina:
INCOMING 25 (local).
3 regla para controlar el envío desde tu máquina a una remota:
OUTGOING 25 (remote).
4 regla para controlar la bajada de correo desde tu maquina a un servidor remoto de mail:
OUTGOING 110 (remote).
¿Vale con eso?
Me voy aclarando más con tu explicación, configuro la primera regla, tal y como me dices, incoming single port 110 SIN PROBLEMAS.
La segunda regla que creo, Protocol TCP incoming, single port 25, y me da este MENSAJE: THIS RULE ALREADY EXIST, PLEASE CHANGE IT!.
En cambio si le pongo outgoing si que me deja
De la 3 y 4 regla, no hablo, porque pasa lo mismo.
Cuando me dices, "Si colocas INCOMING y el puerto 25, controlaras también el envío a través de tu maquina...", quiere decir que esa opción también la puedo hacer dentro de la primera regla, pero tendría que poner en Local endpoint "List of port" o no.
Cuando me comentas en el caso 2, al crear una nueva regla, voy a remote endpoint y al abrir la pestaña, no tengo la opción de outgoing, y si en cambio las de "Single Address" "Network Mask" "Network Range" y "Trustful Addresses".- Gracias por tu paciencia.
La segunda regla que creo, Protocol TCP incoming, single port 25, y me da este MENSAJE: THIS RULE ALREADY EXIST, PLEASE CHANGE IT!.
En cambio si le pongo outgoing si que me deja
De la 3 y 4 regla, no hablo, porque pasa lo mismo.
Cuando me dices, "Si colocas INCOMING y el puerto 25, controlaras también el envío a través de tu maquina...", quiere decir que esa opción también la puedo hacer dentro de la primera regla, pero tendría que poner en Local endpoint "List of port" o no.
Cuando me comentas en el caso 2, al crear una nueva regla, voy a remote endpoint y al abrir la pestaña, no tengo la opción de outgoing, y si en cambio las de "Single Address" "Network Mask" "Network Range" y "Trustful Addresses".- Gracias por tu paciencia.
La paciencia es la madre de la ciencia y realmente todos hemos tenido que aprender, empezaremos desde el principio dejando las cosas claras y así seguro que solucionamos esto en un plín.
Por lo que me comentas, deduzco que la topología que quieres configurar es la siguiente:
Envío de correo:
Clientes --> SERVIDOR DE CORREO (El tuyo, con firewall) --> Internet
Bajar correo:
Internet --> SERVIDOR DE CORREO --> Clientes
¿Es ésta la topología que tienes Crab?
Por lo que me comentas, deduzco que la topología que quieres configurar es la siguiente:
Envío de correo:
Clientes --> SERVIDOR DE CORREO (El tuyo, con firewall) --> Internet
Bajar correo:
Internet --> SERVIDOR DE CORREO --> Clientes
¿Es ésta la topología que tienes Crab?