[Postfixbuch-users] Problem mit Exchange

Jan P. Kessler postfix at jpkessler.info
Do Jan 10 10:56:23 CET 2008


Andre Keller schrieb:
> Der Kunde betreibt auf der ZyWall diverse VPNs. Unteranderem werden auch 
> Backups über die Leitung geschickt (stündlich). Daher sollte das Gerät 
> möglichst unterbruchsfrei arbeiten.
>
> Vielleicht kann ich den Kunden überreden ein anderes Produkt 
> einzusetzen. Was würdet Ihr als Firewall/VPN Lösung empfehlen?
>   

Naja, also bevor ich ein ansonsten etabliertes Firewallprodukt 
rausschmeiße, würde ich erst mal sicher verifizieren, dass es auch daran 
liegt. Es könnte nämlich ein ganz schöner Reinfall werden, wenn Ihr Euch 
da eine ziemliche Arbeit macht (eine Unternehmens-FW abzulösen ist ja 
schon ein bisschen Aufwand) und das Problem besteht danach trotzdem 
noch. Sollte es tatsächlich um die MTU o.ä. gehen, gibt es schließlich 
auch einfachere Wege, als das komplette Device auszutauschen (nicht 
vergessen: ich kann mit jedem noch so guten Produkt Mist konfigurieren).

Zur Ausgangsfrage: Von welchem Umfeld und Umfang reden wir da? Könnt Ihr 
Kohle ausgeben? Inwiefern ist Redundanz/Clustering ein Thema? Welcher 
Durchsatz ist gefordert? Müssen administrative Rollen bei der 
Administration unterstützt werden? Soll die Kiste Proxydienste (und für 
welche Services?) oder gar IDS/IPS Features zur Verfügung stellen? Ist 
ein zentrales Management erforderlich? usw, usf...

Sprich: Die Firewall-Frage ist ähnlich komplex wie die nach dem 
richtigen MTA (ich würde sogar fast sagen, dass der Markt da noch 
unübersichtlicher und breiter gefächert ist). Von 'nem kleinen 
iptables/ipfilter Rechner bis zum 
Checkpoint/Nokia/SPLAT/Genugate/Phion-Cluster mit redundantem Management 
kann alles für den jeweiligen Einsatzzweck passen - es hängt von den 
Voraussetzungen ab.

Für die üblichen "Klitschen" (nicht so negativ gemeint wie's klingt) 
würde ich iptables mit Firewall Builder empfehlen. Sobald es etwas 
größer wird wird das nicht mit einer lapidaren Frage in einer 
MTA-Newsgroup erledigt sein.



Mehr Informationen über die Mailingliste Postfixbuch-users