[Postfixbuch-users] DMZ
Peer Heinlein
p.heinlein at jpberlin.de
Do Dez 5 16:40:09 CET 2002
Am Donnerstag, 5. Dezember 2002 15:32 schrieb Lars Behrens:
Du verdrehst hier zwei Sachen, wenn ich Dich recht verstanden habe.
Dein Problem ist ein *reines* TCP/IP-Problem, mit Postfix hat das
nichts zu tun. Denn die Frage ist doch nur: Den Server (bzw. die
IP), die Du bei Postfix einträgst, muß Postfix erreichen können.
Genauer: Muß der *HOST* auf dem Postfix läuft, erreichen können.
Postfix selbst kümmert sich ja nicht um TCP/IP-Routing, sondern der
Server/das Linux!
> * ob ich in der postfix/transport auch den Eintrag einer privaten
> IP vornehmen kann (bloss: woher weiss dann der Postfix in der DMZ,
> wo er die Mails hinschicken soll?
Was ist schon eine "private" IP? Ob 62.8.206.147 oder 192.168.1.50
ist technisch gesehen *KEIN* Unterschied. Trag ein, was Du willst.
Die Frage ist nur: Kann man da hinrouten?
"Private" IP sagt nur aus, daß sich die Menschheit drauf geeinigt
hat, daß jeder diese IPs für Heimnetzwerke o.ä. nimmt und diese nie
im Internet für echte Server benutzt werden. Mehr sagt das nicht
aus. Die Server selbst haben von solchen Feinsinnigkeiten doch
keinen Schimmer, das ist denen Wurscht. IP ist IP.
*Natürlich* kannst Du als auch eine private IP eintragen (bzw. einen
Hostnamen, der ggf. auf die private IP zeigt).
NUR: Du mußt halt ein Routing aufsetzen, so daß dieser Servert an
diese private IP kommt!
"/etc/route" ist Dein freund, die Programme "ping" und "traceroute"
helfen Dir. Das ist TCP/IP-Krempel und keine Frage rund um Postfix.
:-)
> * wie ich die Port- /Adressübersetzung bewerkstelligen soll
> schliesslich kann ich ja vom Postfix keine Mails an eine private
> Nummer schicken bzw. er kann mit privater IP hinter der äusseren
> FW doch eigentlich keine annehmen...? >> PAT / statisches NAT?
> DNAT...?
? Ist doch Wurscht!
Als Server muß er eine echte IP haben, sonst ist er vom Rest des
Internets aus nicht erreichbar. Gib ihm die.
Wenn Du in Deinem LAN dann (nicht in der DM) lokale IPs benutzt, ist
das ja `ne ganz andere Frage.
Du mußt Deinen Servern im DMZ halt nur das Routing in das LAN
erklären. Aber das müßtest Du so oder so -- egal ob das nun
"private" IPs sind, oder nicht. Solange die DMZ-Servere keine Pakete
an das LAN Routen können, klappt es ganz grundsätzlich eben nicht.
Du mußt in /etc/route bei Deinen DMS-Servern eintragen, daß das
LAN-Netz über die innere Firewall geroutet wird. -Das war`s. Mit
Postfix hat das nix zu tun.
Peer
Mehr Informationen über die Mailingliste Postfixbuch-users