[Postfixbuch-users] Feste IP?

[Peer Heinlein]

anmeyer at anup.de (Andreas Meyer) hat mir am 28.07.02
eine Mail zu "Re: [Postfixbuch-users]  Feste IP?" gesendet...
Hier ist meine Antwort!


> Von irgendwo von außen an meinen Mailserver, der im internen LAN
> steht. Der DNS auf der äußeren Firewall wird befragt.

Dann muß dort eine gültige IP eingetragen sein. Entweder eine echte IP  
Deines Mailservers oder die der äußeren Firewall, auf der ein  
Portforwarding eingerichtet ist (was echt keinen Sinn macht, solange Du  
nicht unter eklatantem IP-Nummernmangel leidest).

>> Alle Rechner, die am Internet selbst teilnehmen, müssen feste
>> IP-Nummern haben. Darauf kann ggf. nur verzichtet werden, wenn sie
>> Clients sind und man beim Dialup (ISDN-/DSL-Netze usw) ein
>> NAT/Masquerading macht.

> Masquerading bräuchte ich dann nur, wenn Pakete vom internen LAN in
> die DMZ gehen sollen und umgekehrt, z.B. Anfrage von WKS1 im LAN an
> den Proxy in der DMZ.

Nicht unbedingt. Es macht nicht unbedingt Sinn die lokalen IP-Nummern  
extra nur für Dein DMZ umzusetzen.

Solange Deine inneren Rechner gar nicht mit dem Rest des Internets Kontakt  
haben sollen (so ist`s fein!) müssen die *nie* umgesetzt werden. Du  
könntest dann in Deiner DMZ ein Routing für 192.168.0.0/16 auf die innere  
Firewall einrichten. Deine DMZ-Server können dann ja problemlosen Kontakt  
mit Deinen lokalen Clients haben.

Alternativ könntest Du Deinen Servern bei der Gelegenheit auch gleich  
lokale IPs und echte IPs gleichzeitig geben (also zwei IPs pro Rechner)  
und die Dienste, die nur von innen abrufbar sein sollen (z.B. POP3/IMAP)  
nur auf der lokalen IP anbieten.

> Ich denke an das schöne Beispiel im Buch Seite 288. Im internen LAN
> hat der eigentliche Mailserver ja auch eine Adresse aus dem privaten
> Bereich, die müßte ja auch maskiert werden. Genauso wie Anfragen an

Das sagst *Du*. In dem ganzen Kapitel ist aber nirgendwo davon die Rede,  
daß das interne LAN aus privaten IPs besteht. Das *kann* so sein, muß aber  
nicht (mangels IPs wird es i.d.R. so sein).

Aber Du verdrehst das einfach. Denn das eine hat mit dem anderen doch  
nichts zu tun (darum ist in dem Kapitel auch nichts dazu gesagt).

Das eine ist die Frage, welche Verbindungen in Firewalls zugelassen sind  
und welche Hosts sich an welche Server wenden können/dürfen.

Das andere ist die Frage, daß diese Computer dann natürlich untereinander  
ein funktionierendes Routing haben müssen (ganz gleich wo sie stehen!).  
Solange es sich innerhalb Deiner eigenen Compis abspielt, kannst Du  
192.168er Adressen nehmen, damit kannst Du Dir ja beliebig ein Netz  
aufbauen. Sobald einer dieser Hosts aber mit dem Rest des Internets  
Kontakt haben soll, brauchst Du (zumindest für diesen) echte IPs. -Ob  
dieser Host in der DMZ steht oder nicht, ist dabei erstmal egal.

Du setzt "LAN" einfach mit "lokalen IPs" gleich.

> den Proxy in der DMZ. Also müßte auf der inneren Firewall
> Masquerading aktiviert sein.

Für Seite 288 gibt`s folgende Möglichkeiten:

LAN: echte, DMZ: echte ==> Ganz normales Routing

LAN: lokal, DMZ: echte ==> Routing muß 192.168er auf die Innere FW lenken
(Genaugenommen: Auch hier eben ganz normales Routing, wo ist da der  
Unterschied?!)

LAN: lokal, DMZ: echte ==> Interne FW macht NAT/MASQ, ihre IP ist im DMZ- 
Subnetz, also kein extra Routing nötig.

LAN: lokal, DMZ: lokale ==> Ganz normales Routing, Problem: DMZ-Server  
nicht von außenerreichbar. Möglich ist Portforwadings (grausel!).

LAN: lokal, DMZ: lokale (s.o.) und eine zweite echte IP (s.o.). Natürlich  
auch hier wieder eine Routingfrage.

Letzteres hier die netteste und flexibelste Lösung, aber etwas aufwendiger  
als einfach ein Routing für das 192.168er Netz aufzusetzen.

> Daran dachte ich eigentlich. Per forwarding auf der äußeren Firewall
> auf z.B. den Proxy (mit privater IP) verweisen.

Und was soll Dir das bringen? Sicherheit nicht. Das macht nur Sinn, wenn  
Du einen Dialup-Zugang mit nur einer IP hast. Ansonsten gibst Du den  
Servern echte IPs und Feierabend ist. Wozu sind diese IPs denn sonst da.

Forwarding bringt Dir keine Sicherheit. Was sollte das nützen?

> Und umgekehrt von privater IP in der DMZ (z.B. Proxy) auf öffentliche
> IP auf der Firewall. Aber dazu bräuchte ich Masquerading und das
> will/soll ich nicht.

Es wäre auch wenig professionell funktionierende Mailserver so anzubinden.  
Das ist `ne Bastel-Heimwerker-Lösung wenn man keine IPs hat.

> Wenn ich das alles einigermaßen richtig verstehe, brauche ich auf der
> äußeren Firewall kein Masquerading, alles wird per DNS geregelt.

Was soll DNS damit zu tun haben? DNS regelt die Zuordnung eines Namens zu  
IP und umgekehrt. Namen könntest Du hier auch weglassen (und damit DNS).  
Ein Rechner von außen muß halt auf TCP/IP-Ebene den Server ansprechen  
können und andersrum auch. DNS regelt da nix.

DNS ist unabhängig davon (!) dann sicher mal zuständig um zu regeln,  
*welche* IP angesprochen werden soll um Mails an eine bestimmte Domain zu  
senden. Aber Dein Problem ist hier das TCP/IP-Routing und nicht die Frage  
woher die Information über den passenden Server kommt.

> Masquerading brauche ich aber auf der inneren Firewall zwecks
> Maskierung von und ins interne LAN.

Ja und Nein. Wenn das interne LAN eben strikt keinen Kontakt zum Internet  
haben soll, also wenn wirklich *jeder* Zugriff über einen Proxy im DMZ  
läuft, dann sollte man den DMZ-Rechnern eine zweite lokale IP geben und  
kein MASQ aufsetzen.

> Und der Transporteintrag in /etc/postfix/transport
> relay.compdot.foo      smtp:intern.compdot.foo
> geht ja von öffentlicher Adressierung nach privater Adressierung.

Gnagnanää? Was meinst Du jetzt damit? Private IPs?

Wenn ja: Na und? Die Frage ist alleine, ob der DMZ-Host den internen Host  
per Routing erreichen kann. Das ist eine TCP/IP-Frage, keine  
Mailserverfrage :-)

Peer