[Postfixbuch-users] Feste IP?

Andreas Meyer anmeyer at anup.de
So Jul 28 16:48:27 CEST 2002 

Hallo!

Am 28 Jul 2002 08:18:00 GMT schrieb Peer Heinlein:

> > - Mail soll ausgeliefert werden

> Von wem? Aus Deinem privaten Netz (der Deinen eigenen DNS fragt) oder  
> öffentlich vom Rest des Internets an Dich?

Von irgendwo von außen an meinen Mailserver, der im internen LAN
steht. Der DNS auf der äußeren Firewall wird befragt.

[...]

> Alle Rechner, die am Internet selbst teilnehmen, müssen feste IP-Nummern  
> haben. Darauf kann ggf. nur verzichtet werden, wenn sie Clients sind und  
> man beim Dialup (ISDN-/DSL-Netze usw) ein NAT/Masquerading macht.

Masquerading bräuchte ich dann nur, wenn Pakete vom internen LAN in
die DMZ gehen sollen und umgekehrt, z.B. Anfrage von WKS1 im LAN an den 
Proxy in der DMZ.
Ich denke an das schöne Beispiel im Buch Seite 288. Im internen LAN
hat der eigentliche Mailserver ja auch eine Adresse aus dem privaten
Bereich, die müßte ja auch maskiert werden. Genauso wie Anfragen an den
Proxy in der DMZ. Also müßte auf der inneren Firewall Masquerading
aktiviert sein.

 
> Server müssen aber immer feste echte IPs haben, sonst sind sie vom Rest  
> der Welt aus ja nicht ansprechbar. Ob sie dann in einer DMZ stehen oder  
> nicht ist dabei völlig Wurst. Die DMZ ist ja nicht durch andere IP-Nummern  
> bestimmt, sondern aufgrund der Tatsache, daß man eben zwei unterschiedlich  
> stark abgesicherte LANs baut. Da die DMZ-Rechner vom Internet aus  
> angesprochen werden sollen, brauchen sie auch eine IP mit der man sie  
> ansprechen kann.
> 
> [Der Vollständigkeit halber: Man *könnte* auch Portforwarding an der  
> Firewall haben, die ja nach außen eine echte IP hat und ansprechbar ist.  

Daran dachte ich eigentlich. Per forwarding auf der äußeren Firewall
auf z.B. den Proxy (mit privater IP) verweisen.
Und umgekehrt von privater IP in der DMZ (z.B. Proxy) auf öffentliche 
IP auf der Firewall. Aber dazu bräuchte ich Masquerading und das 
will/soll ich nicht.

> Mittels "rinetd" könnte man alle Verbindungen an Port 25 der Firewall auf  
> Deinen Mailserver mit 192.168er IP weiterleiten. Das geht, aber nur im  
> privaten Bastelbereich, für öffentliche Server ist das nicht unbedingt die  
> beste Lösung. Due müßtest dann in den DNS-Daten jeweils Deine Firewall  
> nennen. Der Rest des Netzes glaubt ja, daß er mit Ihr eine Verbindung  
> hat... Zusätzlich bräuchtest Du dann aber noch NAT/Masquerading, falls  
> Dein Mailserver mal nach außen Mails zustellen will. Bei Diensten wie FTP  
> usw. usf. klappt sowas aber natürlich nicht mehr, wegen Data-/Control- 
> Connetction [Buchseiten 96/97!]]

Wenn ich das alles einigermaßen richtig verstehe, brauche ich auf der
äußeren Firewall kein Masquerading, alles wird per DNS geregelt.
Masquerading brauche ich aber auf der inneren Firewall zwecks
Maskierung von und ins interne LAN.

Verständnisproblem habe ich noch mit dem Mail-Relaying von der DMZ ins
interne LAN an den eigentlichen Mailserver. Dieser Verkehr muß ja
auch maskiert werden.
Das Mail-Relay in der DMZ hat ja in $mynetworks den inneren Mailserver
eingetragen.
Und der Transporteintrag in /etc/postfix/transport
relay.compdot.foo      smtp:intern.compdot.foo
geht ja von öffentlicher Adressierung nach privater Adressierung.

Ich bräuchte also zum Beispiel im Buch Seite 288 eine öffentliche
IP für
die äußere Firewall
das Mail-Relay
den Rechner mit den Proxies
den Webserver
die innere Firewall

Danke euch! Werde mich mal als Datenpacket verkleiden und eine
Reise vom Internet in die compdot.foo unternehmen und vom internen
LAN der compdot.foo ins Internet.
Mal sehen wo ich lande :-)

Gar nicht einfach ein solches Konzept auszuarbeiten, uiui.


Gruß
-- 

  Andreas Meyer  http://home.wtal.de/MeineHomepage

Mehr Informationen über die Mailingliste Postfixbuch-users