[Postfixbuch-users] Postfi in DMZ
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Mi Jan 30 13:03:09 CET 2008
Thomas Beger wrote:
> Fred Ockert schrieb:
>
>> wie jetzt ...eine nicht konfigurierbare Firewall ? irgendwo kann das
>> nicht ganz sein... zumal ..der DMZ-Postfix muss ja auch nicht unbedingt
>> auf Port 25..
>>
>> User per VPN .. na gut (sicher von Intern nach extern) .. aber doch
>> nicht aus der DMZ ?...
>>
>> Fred
>
> Ja, Firewall läst nur von Extern nach DMZ auf Port bzw. Dienste durch.
> Verbindungen zu LAN intern müssen von LAN ausgehen, also bekannt sein.
> Per VPN von extern in LAN nur mit mehrfacher Verschlüsselung möglich.
> Halt die harte Lehre einer Firewall, alle Verbindungen nach intern gehen
> von intern aus.
Das geht natürlich nur, solange du keine Dienste nach außen anbietest. Wenn
das das Fall ist (und das is der Fall bei einem SMTP-Server, der Mails aus dem
Internet annimmt), muss ein Port nach außen freigegeben werden.
Gegen das Design, Postfix in der DMZ als Gateway zu betreiben, ist nichts zu
sagen. Aber dann Fetchmail zu verwenden ist auch aus Sicherheitsaspekten nicht
anzuraten. Postfix ist in den letzten Jahren durch keine Sicherheitslücke
aufgefallen, Fetchmail sehr wohl.
Deshalb:
DMZ: Postfix nimmt Mails von Internet an und leitet sie an internen Postfix
per smtp weiter. Wenn mehrere Server in der DMZ sind, dann auch per TLS und
smtp auth.
intern: Firewall akzeptiert SMTP nur von internem Server zu DMZ-Server und
umgekehrt, alle anderen Clients werden geblockt. Server in der DMZ müssen sich
authentifizieren bei DMZ-Postfix.
Ausgehend darf nur der Postfix-DMZ per SMTP kommunizieren.
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Mehr Informationen über die Mailingliste Postfixbuch-users