Alles was einem manchmal durch den Kopf oder sonstige Organe geht. Vornehmlich nachts, manchmal auch tagsüber.

Mittwoch, Januar 16, 2008

Merkwürdige Firewalls

Innerhalb kürzester Zeit (gestern in Düsseldorf und heute in Ludwigshafen) zwei merkwürdige Firewalls erlebt, die einen vernünftigen und korrekten Betrieb einer sinnigen Antispamlösung erfolgreich verhinderten. In beiden Fällen wurden alle aus dem Internet eingehende IP-Adressen bei Mailverbindungen hinter der Firewall maskiert. Damit funktionieren alle DNSRBLs basierten Lösungen oder auch beispielsweise SenderBase überhaupt nicht und die meisten Antispamlösungen sind dadurch einer ihrer stärksten Möglichkeiten gegen die Spamflut beraubt.

Im einen Fall lag es an verkorksten iptables-Einträgen. Der zuständige IT-KruscherDienstleister hatte ein beeindruckend komplexes iptables-Firewall-Script, dass für ausgehende UND eingehende Verbindungen Masquerading macht, nicht im Griff. Für ausgehende Verbindungen Richtung Internet Masquerading kann ich ja noch verstehen, aber aus dem Internet eingehende Verbindungen? Der Sinn hat sich mir da nicht ganz erschlossen. Und auf die Antwort, dass dies ja das Prinzip von NAT bzw. Masquerading wäre, habe ich resigniert und eine andere sichere Lösung realisiert ohne Firewall.

Im zweiten Fall handelte es sich um eine GenuaGate-Firewall, bei der es anscheinend nicht so einfach ist eine transparente SMTP-Verbindung zu der Antispamlösung einzurichten, ohne dass die Firewall immer dazwischen fummelt. Aber immerhin hat sich hier der Herstellersupport als kompetent erwiesen, zumindest hörte es sich am Telefon so an, als ob sie wissen, um was es hier geht.

Bei beiden war lediglich die Konfiguration und Inbetriebnahme einer Antispamlösung beauftragt, was im Regel- und Planfall auch innerhalb kurzer Zeit umgesetzt werden kann. Wenn es dann aber wegen solcher externen Probleme sich extrem in die Länge zieht, man eigentlich weiss warum es so nicht nicht funktionieren kann, aber nicht selbst eingreifen kann (bzw. darf), da dies in die Zuständigkeit der anderen Dienstleister fällt, fällt es mir extrem schwer geduldig zu bleiben (gngngn). Von in diesem Zuge notwendige DNS-Änderungen schreibe ich erstmal nichts (die dauern auch schon drei Tage, ohne dass was passiert ...).

PS: Wie soll man zum Thema NAT auf die Frage reagieren: "Was meinen Sie mit offiziellen IP-Adressen?". Das leben als Dienstleister kommt mir manchmal wie die Hölle vor. Im nächsten Leben werde ich auch Kunde. Dann wird alles besser ;-)

Labels: ,

posted by McNail at 21:28

2 Kommentare:

Anonymous Anonym meint dazu...

Du wirst Kunde ???
Ich bin jetzt Kunde und genau solche Dienstleister stellen sich mir regelmäßig vor. Nur gut, dass die erste "Telefonhürde" bei uns ein Erbarmen mit mir hat und mind. die Hälfte abbügelt.
Ich habe auch die Nase voll von Support-Centern jeder Art, von denen im ersten bis dritten Anlauf leider keiner eine Ahnung hat.
Vielleicht sollte ich mir ja ne Genugate zulegen, wenn der Support positiv war, an den letzten Call bei Juniper denke ich mit Grauen zurück.

Eingehende Verbindungen maskieren?
Das wäre ja was für die Vorratsdatenspeicherung.

17 Januar, 2008 22:26

 
Blogger McNail meint dazu...

"Im nächsten Leben werde ich auch Kunde" ist so ein Spruch von Antje, wenn sie früher genervt nach Haue kam. Und diesen finde ich immer passender.

Jaaa, Vorratsdatenspeicherung mit maskierten eingehenden Verbindungen ist bestimmt prima. Da freut sich der Schäuble sicher über die sinnfreien Logfiles. Darüber habe ich noch gar nicht nachgedacht, ist aber eigentlich eine gute Idee, wenn man es so herum betrachtet ;-)

17 Januar, 2008 22:37

 

Kommentar veröffentlichen

<< Home