[bglug] Sistemistica: Postfix in situazioni particolari.

Manuel manetta@mediacom.it
Mer 13 Apr 2005 14:22:27 CEST 

paradox ha scritto:

> L'idea sarebbe quelle di avere un paio di server. Uno interno alla LAN e 
> uno in DMZ (dietro ad un firewall) con IP privato (la cosa sarebbe un 
> pochino + complessa ma mi basta fare un esempio del genere :D). Ora, il 
> server esterno riceve mail da LAN e le rimbalza fuori e riceve mail 
> dall'esterno e le rimbalza dentro (cioè al server mail interno). In 
> pratica il mailer esterno fa solo da "bounce" tra l'esterno e l'interno: 
> non tiene account utenti e si preoccupa "solo" del filtraggio 
> (spam+antivirus+conf di postfix).

scusa ma non ho capito molto.
per "bounce" si intende il messaggio "rimbalzato" al mittente, che 
notifica un utente sconosciuto, una quota raggiunta, presenza di virus o 
spam, ecc.

Tu vuoi avere un server "front" che filtra i messaggi tramite rbl, ferma 
virus e spam e poi inoltra tutto il resto al server in DMZ. Giusto?
Viceversa, in DMZ vuoi un server che passi le mail al server "front", 
incaricato dell'invio. Giusto?


> La mia domanda è: stavo guardando le configurazioni e pensavo che, per 
> fare una cosa di questo tipo sul server mail esterno, avrei dovuto 
> inserire in /etc/postfix/virtual una roba come

no, il virtual si usa per gli utenti (man 5 virtual):
The  optional  virtual alias table specifies address aliasing for 
arbitrary local or  non-local  recipient  addresses.

> Infatti ho l'idea che, al 
> contrario, debba usare il TRANSPORT anche se non è molto chiaro.

esatto. la sintassi e' semplicissima (man 5 transport):

example.com      smtp:bar.example:2025

che, ipotizzando che nel DNS hai dato impostato nel record MX il server 
"front" con il nome front e all'altro hai dato il nome dmz, per te 
potrebbe diventare qualcosa del tipo:

miodominio.tld	smtp:dmz.miodominio.it:25

(da scrivere nel server front; sul server dmz assolutamente non va 
messo, devi usare la direttiva relayhost di main.cf, che ha senso per 
tutti quegli indirizzi non locali)


> relayhost=[servermail_in_dmz]

no !
relayhost=front.miodominio.tld

puoi usare sia il nome, sia l'IP

> Poi quando le mail giungono al server esterno non dovrebbero esserci 
> problemi: vede che vengono da un pc trusted e sono destinate a un 
> indirizzo NON locale e quindi dovrebbero essere relayate (scusate il 
> termine :D) senza problemi.

???
giungono da dove?

se giungono dal server dmz (o meglio, dall'IP con cui ne fai il NAT) 
sono accettate ed inviate (direttiva mynetworks di main.cf);
se giungono da internet, se sono destinate a miodominio.tld 
(relay_domains di main.cf) allora vengono accettate, processate, ed 
inviate (tramite il transport) al server dmz.miodominio.tld; altrimenti 
rispondi un un relay access denied (occhio a non diventare un open relay...)


> A dire il vero, come dicevo prima, il server esterno ha ip privato e è 
> dietro al firewall (ha settato il firewall come gateway), suppongo non 
> sia necessario un settaggio ulteriore del relayhost.

no calma: allora non ho capito nulla.
se il server esterno (front) ha ip privato, che ip ha quello in DMZ?
ma soprattutto: che senso ha allora creare una DMZ per un server mail??

spiegati bene, non e' chiarissimo...

Ciao
Manuel

Maggiori informazioni sulla lista bglug