* Originally in EOTB.AVISOS
* Crossposted in ESP.REDES
* Crossposted in ESP.SEGURIDAD


­Hola All!


Aquí estaba ultimando hace tres semanas ultimando los detalles del servidor de correo, cuando me percaté que estaba enviando spam al mundo mundial... No masivamente, no a todas horas, pero sí con cierta cadencia... Me percaté en cuanto me activé los catch-all de los dominios que gestiono y empecé a recibir rebotes de los rechazos...

¿Y cómo podía ser? Tenía la seguridad perimetral bien, mi MTA no hacía relay por defecto ni a todos los dominios, todo iba autenticado, todo estaba parcheado al día, los registros DNS (SPF, DMARC, DKIM, etc) bien, blablabla...

Como tampoco he tenido tiempo para dedicarle al tema, he ido haciendo divide & conquer, análisis segmentado de la situación, y he dado con el problema y luego con la solución:

Problema:

Mi seguridad perimetral, sobre nftables como os indiqué el otro día, no hace un *NAT efectivo sino que simplemente bloquea y redirige el tráfico a las máquinas/puertos internos que toca. Por tanto, las peticiones me llegan con la IP del interfaz de mi red interna...

Eso no sería problema para la mayoría de servicios que simplemente "sirven" a las peticiones entrantes, pero lo es para mi postfix. Viendo la configuración de mi main.cf, descubrí lo que temía: se permite relay a las máquinas de mi segmento de red interna... Horror.

Solución:

A, Desmontar nftables para volverlo a montar haciendo el *NATeo y enmascarando bien la IP, suponiendo que sea posible hacerlo porque la conexión no me llega directamente a la VM que hace de firewall sino que pasa por el router de Fibra (¿algún experto en redes en la sala?).

B, No permitir que se pueda hacer relay desde mi red interna.



De momento, dado el tiempo del que dispongo, he tirado por B... y mano de santo, oyes.

Lo explico por si alguien se encuentra en la misma tesitura que yo, y le ayuda. ;-)

-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... O nos ponemos de acuerdo todos juntos, o nos colgarán a todos por separado. --- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)

Buenas Enric,

A, Desmontar nftables para volverlo a montar haciendo el *NATeo y enmascarando bien la IP, suponiendo que sea posible hacerlo porque la conexión no me llega directamente a la VM que hace de firewall sino que pasa por el router de Fibra (¿algún experto en redes en la sala?).

El router cuando hace un portforward mantiene la ip de origen, por lo que cuando llega a tu FW virtual viene con IP origen la ip real y destino la IP interna de tu FW, por lo que lo que tendrias que hacer es un dnat para convertir la IP de destino (la WAN de tu FW a la IP de tu servidor postfix)

En tu caso lo que entiendo es que estas haciendo un snat ademas, por lo que estas traduciendo la IP real a la IP del FW antes de entregarle el trafico a
tu postfix, de ahi que la configuracion de los relays autorizados esten considerando trafico publico como si fuese de tu red interna.

Yo tiraria a la simplificacion, el FW negociar el PPPoE directamente a Telefonica (o tu operador) y asi tener la IP publica directamente en el FW.
Y ahi un masquerade del trafico interno a WAN y el trafico Internet - WAN - Interna con un dnat. (Eso mantiene la IP de origen real de la conexion y tu postfix ve quien abre el socket es una ip publica y no autoriza el relay).

Yo en mi caso es que ni uso el router del operador, me he pillado una ONT generica de Ubiquiti, le he sacado los datos al router y uso la ONT de adaptador FTTH a Ethernet. El FW negocia el PPPoE y lo gestiono todo ahi.

[+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8] [21:4/118] [+] PGP KeyID 0x1352338D

--- Mystic BBS v1.12 A45 2020/02/18 (Raspberry Pi/32)
* Origin: Bit's Lair BBS (2:341/203)

­Hola Yeray!

El Lunes 29 Junio 2020 a las 23:42, Yeray A.Dorta escribió a Enric Lleal Serra:

el trafico a tu postfix, de ahi que la configuracion de los relays autorizados esten considerando trafico publico como si fuese de tu red interna.

Eso mismo.

Yo tiraria a la simplificacion, el FW negociar el PPPoE directamente a Telefonica (o tu operador) y asi tener la IP publica directamente en

Apuntado. En mi próximo cambio de host (previsto para 2021/2022) lo reharé de ese modo. Si sobrevivimos aquí ya repescaré este mail (o te contactaré) para hacer las cosas mejor.

Yo en mi caso es que ni uso el router del operador, me he pillado una
ONT generica de Ubiquiti, le he sacado los datos al router y uso la
ONT de adaptador FTTH a Ethernet. El FW negocia el PPPoE y lo gestiono todo ahi.

¿En qué cobrarías para ayudarme a hacer un montaje así? ¿En birras? ¿Unos macarrones (iba a decir una comida, pero a saber qué interpretan vuestras sucias mentes)? :-D

-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... Concentrarnos en lo que debemos sentir nos impide saber qué sentimos realmente.
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)

Buenas Enric,

Yo tiraria a la simplificacion, el FW negociar el PPPoE directamente Telefonica (o tu operador) y asi tener la IP publica directamente en

Apuntado. En mi próximo cambio de host (previsto para 2021/2022) lo
reharé de ese modo. Si sobrevivimos aquí ya repescaré este mail (o te contactaré) para hacer las cosas mejor.

Al final no es cuestion de hacerlas mejor o peor, son conceptos subjetivos y
al final realmente es cuestion de hacerlo como mas comodo te sientas. A mi me encanta hacer un tcpdump en la interfaz de la WAN y saber que no hay nada delante filtrando nada y que lo que me llega es lo que me mandan (Y de ahi poder solucionar los fallos. Hay gente a la que eso le puede dar igual y prefieren una solucion mas estandar ... sobre gustos ... topologias xD

Yo en mi caso es que ni uso el router del operador, me he

pillado una EL> YD> ONT generica de Ubiquiti, le he sacado los datos al router y uso la EL> YD> ONT de adaptador FTTH a Ethernet. El FW negocia el PPPoE y lo gestion EL> YD> todo ahi.

¿En qué cobrarías para ayudarme a hacer un montaje así? ¿En birras? ¿Unos macarrones (iba a decir una comida, pero a saber qué interpretan vuestras sucias mentes)? :-D

xDDDDD Con unas birras post apocalipticas me doy por pagado, ahi con su buen lupulo y cesio radioactivos.

Es muy facil montar algo asi y simplificas muchisimo la gestion, ademas eliminas puntos de fallo y problemas de MTU, filtrado y rendimiento
lamentable.

Si te lanzas a la piscina dime y en menos de 2K de texto lo arrancamos ;)

[+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8] [21:4/118] [+] PGP KeyID 0x1352338D

--- Mystic BBS v1.12 A45 2020/02/18 (Raspberry Pi/32)
* Origin: Bit's Lair BBS (2:341/203)

Hola Yeray,

xDDDDD Con unas birras post apocalipticas me doy por pagado, ahi con su buen lupulo y cesio radioactivos.

Falens. :-)

Es muy facil montar algo asi y simplificas muchisimo la gestion, ademas eliminas puntos de fallo y problemas de MTU, filtrado y rendimiento lamentable.

Ya... ''':-)

Si te lanzas a la piscina dime y en menos de 2K de texto lo arrancamos ;)

Primero he vuelto, que ya es mucho. :-D Ahora a ponerlo todo en marcha de nuevo, que lo tengo to' lleno de polvo, suciedad y bytes perdidos...

Te contacto.

A reveure!!
Enric

--- BBBS/Li6 v4.10 Toy-5
* Origin: Eye Of The Beholder BBS - The Fidonet's Corsair (2:343/107)