[Postfixbuch-users] DMZ

[Peer Heinlein]

Am Montag, 9. Dezember 2002 08:10 schrieb lars:

> > Ja und Nein ;-) Wenn ich eine DMZ mit äußerem und innerem
> > Paketfilter aufsetze, braucht mindestens der äußere Firewall
> > eine offizielle IP-Adresse.

Hmm, ok, meinetwegen auch so. Ich ging davon aus, daß er eine 
handvoll echter IPs für die DMZ hat. Server über Portworwarding zu 
betreiben ist nicht so dolle.

An der Stelle aber nochmal eine Anmerkung für alle, bzw. für Leute, 
die das später im Archiv lesen: 

Wolfgang hat *NAT* eingesetzt, d.h. aus Sicht der Postfix-Server 
redet direkt mit der IP des Clients! Das ist okay.

Etwas anderes ist es, wenn man auf die glorreiche Idee kommt auf der 
firewall einfach einen "rinetd" zu installieren, der das Zeug nach 
innen weiterleitet! Der rinetd baut eine eigene TCP/IP-Verbindung 
zum Mailserver auf. Dadurch kriegt der nur die IP der Firewall, denn 
DIE macht dann einen Connect zu ihm! Das ist ein himmelweiter 
Unterschied zu einem NAT. Denn eine solche rinetd-Bastelei muß man 
relayfest machen, bzw findet in seinen Logs immer die Firewall-IP 
und kann so nette Sachen wie RBL natürlich vergessen!

> bin ich denn dann mit meinem MX-Eintrag, der auf den Postfix IN der 
> DMZ verweisen soll, erreichbar? mach ich bei meinem DNS einen 
> Eintrag für den Postfix auf die IP des äusseren Paketfilters? 
> fragen über fragen..

Wenn Du die Sache mit NAT machst, dann zeigt Dein MX auf die 
Firewall, ja!

> nette seite mit den hunden, btw - und leider war dein firewallbuch 
> nicht bei
> meinem dealer vorrätig, so musste ich mir das von R.Ziegler 
> kaufen...

Na, was ist denn das für ein Argument. Jeder Buchhändler bestellt 
über Nacht. 

Das wird mit SuSE-Kalendern nicht unter 10 Stück bestraft.

Peer