none
windows server 2003 RRAS RRS feed

  • Вопрос

  • Как-то никогда не было необходимости. Но: Настроен выход в интернет через windows server 2003 RRAS. При этом фирма имеет внешний IP-адрес. В результате получаем open proxy в мир. Где в самой RRAS настраивается, чтобы обслуживало только адреса из локальной сети?
    2 ноября 2009 г. 16:09

Ответы

  • Так ведь это проблема обеспечения безопасности (скорее всего - лишь правильной настройки) SMTP-ретранслятора, и к RRAS это не имеет никакого отношения. Если Вы свой SMTP-сервер с помощью RRAS опубликовали, то задача администратороа почтового не допустить использование его в качестве узла для рассылки спама.

    По поводу "ругалки" от провайдера. Подозреваю, что в сети Вашего предприятия завелся зловред(ы), который отсылает "наружу" спам. Запретите компьютерам, кроме доверенных (явно назначенных SMTP-ретрансляторов) выходить "наружу" по SMTP. Клиентов "почтовых" внутренней сети, если используют SMTP, назначьте на использование внутреннего SMTP-сервера. На самом SMTP-сервере требуйте аутентификации от клиентов внутренней сети, а от клиентов сети внешней принимайте лишь почту, направляемую, в Ваши домены, т.е. проверьте, что запрещена анонимная пересылка извне.

    Но, подчеркну, что это "проблемы настройки" почтового сервера, к RRAS они отношения не имеют!
    • Предложено в качестве ответа SuchNS 3 ноября 2009 г. 11:13
    • Помечено в качестве ответа Vinokurov YuriyModerator 21 января 2010 г. 12:02
    3 ноября 2009 г. 7:37
    Отвечающий

Все ответы

  • Что Вы подразумеваете под "open proxy"? Proxy - это посредник, выступающий от имени его клиента. Что значит "обслуживало адреса"?

    2 ноября 2009 г. 17:12
    Отвечающий
  • "open proxy", это термин моего провайдера. Насколько я понимаю, они имеют ввиду, что через данный айпи можно пробрасывать поток информации(НТТР, SMTP и т.д., при этом "светится" будет, естевственно, айпи этой фирмы.
    Или же я неправ, и РРАС натит только внутреннюю сеть? Простите, за возможно, дилетантские вопросы, просто РРАС никогда не настраивал глубоко, так, включил и все. 
    2 ноября 2009 г. 21:04
  • Давайте разбираться.

    RRAS не обеспечивает функционал "proxy" для протоколов уровня приложений ("HTTP, SMTP и т.д.").
    Если Вы задействовали NAT с помощю RRAS на "внешнем" интерфейсе, то это значит, что в общем случае он будет пересылать трафик с этого интерфейса используя преобразование адресов (частный адрес в "уходящем сообщении" будет заменен адресом "внешнего" интерфейса).

    Итак. Если Вы боитесь, что кто-либо сможет использовать Ваш IP-адрес без Вашего ведома, то, в первую очередь, Вам надо подумать о защите Ваших рабочих станций и серверов от вредоносного кода, ответственно публиковать в Интернете ресурсы и службы сети Вашего предприятия.

    И почитать:  http://technet.microsoft.com/en-us/network/bb545655.aspx.
    2 ноября 2009 г. 21:32
    Отвечающий
  • спасибо за ссылку, начал читать. Но всё же. Разве не могу я, не находясь в локальной сети данной фирмы и имея внешний айпи адрес, поднять, к примеру, SMTP, и назначив в качестве гейта по умолчанию внешний IP этой фирмы начать рассылку спама или вредоносного кода? Или нечто подобное? Дело в том, что уже пришло сообщение от провайдера по поводу,

    From: Nigel Horne [mailto:4643080352@reports.spamcop.net]
    Sent: Saturday, October 31, 2009 5:18 PM
    To: Форсюк Татьяна Владимировна
    Subject: [SpamCop (78.25.20.30) id:4643080352]Re:

    [ SpamCop V4.6.0.029 ]
    This message is brief for your comfort.  Please use links below for details.

    Email from 78.25.20.30 / Sat, 31 Oct 2009 15:18:03 +0000 http://www.spamcop.net/w3m?i=z4643080352zbcc6745f71e7f1d918667229bfb4634fz
    78.25.20.30 is open proxy, see: http://www.spamcop.net/mky-proxies.html

    [ Offending message ]
    Return-path: <oldakerohyhodi@gmail.com>
    Envelope-to: x
    Delivery-date: Sat, 31 Oct 2009 15:18:03 +0000
    Received: from [78.25.20.30] (helo=78-25-20-30.static.vega-ua.net)
              by fhw-inmx08.plus.net with esmtp (PlusNet MXCore v2.00) id 1N4FiL-0000Rz-Cd ; Sat, 31 Oct 2009 15:18:03 +0000
    Received: from [55.239.216.19] (account oldakerohyhodi@gmail.com HELO mmjjczhaifk.pnhsembgng.ua)
            by 78-25-20-30.static.vega-ua.net (CommuniGate Pro SMTP 5.2.3)
            with ESMTPA id 609418357 for x; Sat, 31 Oct 2009 17:18:00 +0200
    From: "Marcelo Davila" <oldakerohyhodi@gmail.com>
    To: <x>
    Date: Sat, 31 Oct 2009 17:18:00 +0200
    MIME-Version: 1.0
    Content-Type: multipart/related;
            boundary="----=_qtfrlcdajm_72_44_18"
    X-Priority: 3
    X-Mailer: qfoogn_03
    Message-ID: <6590_________________6707@sgrozedht.yeiizftwv.va>
    Subject: Re:

    3 ноября 2009 г. 7:01
  • Так ведь это проблема обеспечения безопасности (скорее всего - лишь правильной настройки) SMTP-ретранслятора, и к RRAS это не имеет никакого отношения. Если Вы свой SMTP-сервер с помощью RRAS опубликовали, то задача администратороа почтового не допустить использование его в качестве узла для рассылки спама.

    По поводу "ругалки" от провайдера. Подозреваю, что в сети Вашего предприятия завелся зловред(ы), который отсылает "наружу" спам. Запретите компьютерам, кроме доверенных (явно назначенных SMTP-ретрансляторов) выходить "наружу" по SMTP. Клиентов "почтовых" внутренней сети, если используют SMTP, назначьте на использование внутреннего SMTP-сервера. На самом SMTP-сервере требуйте аутентификации от клиентов внутренней сети, а от клиентов сети внешней принимайте лишь почту, направляемую, в Ваши домены, т.е. проверьте, что запрещена анонимная пересылка извне.

    Но, подчеркну, что это "проблемы настройки" почтового сервера, к RRAS они отношения не имеют!
    • Предложено в качестве ответа SuchNS 3 ноября 2009 г. 11:13
    • Помечено в качестве ответа Vinokurov YuriyModerator 21 января 2010 г. 12:02
    3 ноября 2009 г. 7:37
    Отвечающий
  • В сети нет SMTP серверов, сотрудники фирмы пользуются внешним сервером провайдера. Я так понимаю, из-за того, что настройка стандартная(разрешены все запросы) то какой-то спамбот на клиентском компьютере рассылает спам. Отсюда вопрос. Можно ли разрешить через RRAS проход по SMTP только на один IP-адрес? или все же настроить локальный SMTP релей с авторизацией?
    В-общем, как лучше настроить? Или уже не морочится, поставить нормально ISA+SMTP? Фирма маленькая, платят немного, не хочетелось заморачиваться...

    3 ноября 2009 г. 19:05
  • В RRAS можно настроить статические фильтры. Не бог весть что, но ограничть smtp трафик позволят.
    3 ноября 2009 г. 19:35
  • Ну если совсем лень заморачиваться с установкой и настройкой сервисов, то можно проанализировать сетевой трафик на существующем маршрутизаторе. Вполне вероятно, что даже нескольких исполнений команды "netstat -an" покажет компьютер, который рассылает спам по 25-му порту. Хотя это решение лишь временное и не гарантирует отсутствия подобных  проблем в будущем. 
    3 ноября 2009 г. 19:35