- NL
|
41175
netweters
|
17748
gesprekken
|
|
19177
vragen
|
Onderwerpen die langer dan 6 maanden geen reactie krijgen, worden afgesloten. Heb je dezelfde vraag of wil je er toch meer informatie over?
Start dan een nieuw onderwerp op De Netweters. Hoe je dit kan doen, vind je hier
Opgelet! Denk eraan dat er in oude onderwerpen informatie kan staan die niet meer up to date is.
Als je een business + fixed IP address abonnement hebt zou er geen enkele port geblokkeerd mogen zijn. Volgens mij staat dat los van het feit of je een btw nummer hebt of niet.
Ik denk dat veel gebruikers met met deze abo formule een modem-only zullen gebruiken (of de CV8560E met pass-through), en hun port-forwarding dus zelf in lokaal in beheer hebben op hun eigen router, en dit niet doen via mijn telenet. Niettemin zou het ook via mijn telenet mogelijk moeten zijn port-forwarding in te stellen voor port 25.
Zoals @NofanTasi echter schrijft, hou er rekening mee dat het openen van deze port ook betekent dat je mailserver een doelwit zal worden van spam zenders. Die zijn altijd aktief op zoek naar mailservers die ze kunnen gebruiken voor het verzenden van hun spam berichten. Om diezelfde reden heeft Telenet zelf ook haar mailservers gesloten op port 25. Dit net als eigenlijk alle andere mailserver aanbieders.
Ik zou adviseren port 25 enkel te openen voor verkeer afkomstig vanaf je LAN, maar voor inkomend verkeer vanaf het internet deze port te sluiten (of niet te forwarden) en enkel gebruik te maken van 587.
Hier nog wat interessante lektuur:
https://www.mailgun.com/blog/which-smtp-port-understanding-ports-25-465-587/
Arnie | 
@Arnie Op je eigen LAN is er toch geen enkele poort geblokkeerd tenzij je dit op de respectievelijke servers of toestellen zelf hebt ingesteld. Dit verkeer passeert in feite je router niet, enkel het switch gedeelte van je router wordt gebruikt. En al zeker niet als je na je router nog een aparte switch hebt. Het is natuurlijk een andere kwestie als je aparte VLAN maakt. Die zijn per definitie gescheiden maar ook daar kan je verkeer routen.
Ignace (igvfer) |
@igvfer, dat is juist, maar niet wat ik bedoel.
Ik bedoel te zeggen dat mijn advies is enkel port 25 voor lokaal verkeer te gebruiken, terwijl inkomnd verkeer vanaf het internet enkel via port 587 toegestaan is, terwijl port 25 gesloten blijft.
Dat kun je op verschillende manieren bereiken, waarbij het het veiligste niet of, maar en te doen:
1) in de config van de mailserver configuren dat op zowel port 25 als 587 geluisterd wordt, maar bij de instellingen voor port 25 het lokale netwerk te definieren.
2) port forwarding van buiten naar binnen enkel voor port 587 te configureren, en dus niet zoals in het topic gevraagd wordt voor port 25
3) firewall regels op de mailserver te configureren
@NofanTasi Het is nu eenmaal zo dat hackers, spammers en wat voor tuig nog meer constant courant gebruikte poorten af scannen om toch maar een gaatje te vinden om iemand een loer te draaien. Ze zoeken ook bijvoorbeeld constant naar poort 5000 (de standaard poort van een synology NAS) om te kijken of ze via deze weg niet binnen geraken. En dat zal niet anders zijn voor alle gekende poorten. Verwerpelijk zoals zoveel dingen maar wat doen we eraan, buiten een heel goed paswoord te gebruiken.
Zover ik weet ondersteund de CH7465LG-TN geen "bridge" mode (IP/MAC passthrough). Je eigen pfSense router zal op zijn WAN interface dus normaal een 192.168.0.0/24 private adres van de CH7465LG-TN ontvangen.
Bijgevolg gaat het verkeer van achterliggende hosts 2x door NAT. Op zich geen probleem, je moet er alleen aan denken dat je dan de port-forwarding in beide routers moet configureren. Eventueel kun je ervoor kiezen op de CH7465LG-TN je pfSense router als DMZ te configureren. Dat is eigenlijk een "port forward all" commando.
Los van deze technische uitdagingen blijft de vraag of het wel een goed idee is port 25 open te stellen voor verkeer vanaf het internet naar je eigen mailserver. Het is zoiets als bewust de deuren van je auto open laten, met de sleutels erin.
