[Postfixbuch-users] DMZ
Peer Heinlein
p.heinlein at jpberlin.de
Mo Dez 9 07:19:33 CET 2002
Am Montag, 9. Dezember 2002 08:10 schrieb lars:
> > Ja und Nein ;-) Wenn ich eine DMZ mit äußerem und innerem
> > Paketfilter aufsetze, braucht mindestens der äußere Firewall
> > eine offizielle IP-Adresse.
Hmm, ok, meinetwegen auch so. Ich ging davon aus, daß er eine
handvoll echter IPs für die DMZ hat. Server über Portworwarding zu
betreiben ist nicht so dolle.
An der Stelle aber nochmal eine Anmerkung für alle, bzw. für Leute,
die das später im Archiv lesen:
Wolfgang hat *NAT* eingesetzt, d.h. aus Sicht der Postfix-Server
redet direkt mit der IP des Clients! Das ist okay.
Etwas anderes ist es, wenn man auf die glorreiche Idee kommt auf der
firewall einfach einen "rinetd" zu installieren, der das Zeug nach
innen weiterleitet! Der rinetd baut eine eigene TCP/IP-Verbindung
zum Mailserver auf. Dadurch kriegt der nur die IP der Firewall, denn
DIE macht dann einen Connect zu ihm! Das ist ein himmelweiter
Unterschied zu einem NAT. Denn eine solche rinetd-Bastelei muß man
relayfest machen, bzw findet in seinen Logs immer die Firewall-IP
und kann so nette Sachen wie RBL natürlich vergessen!
> bin ich denn dann mit meinem MX-Eintrag, der auf den Postfix IN der
> DMZ verweisen soll, erreichbar? mach ich bei meinem DNS einen
> Eintrag für den Postfix auf die IP des äusseren Paketfilters?
> fragen über fragen..
Wenn Du die Sache mit NAT machst, dann zeigt Dein MX auf die
Firewall, ja!
> nette seite mit den hunden, btw - und leider war dein firewallbuch
> nicht bei
> meinem dealer vorrätig, so musste ich mir das von R.Ziegler
> kaufen...
Na, was ist denn das für ein Argument. Jeder Buchhändler bestellt
über Nacht.
Das wird mit SuSE-Kalendern nicht unter 10 Stück bestraft.
Peer
Mehr Informationen über die Mailingliste Postfixbuch-users