[bglug] Sistemistica: Postfix in situazioni particolari.
paradox
paradox@cheapnet.it
Gio 14 Apr 2005 10:56:26 CEST
Ciao
Grazie Manuel, prima di tutto, per la tua disponibilità. :D
Si c'è stata un po' di confusione per quello che intendiamo con DMZ,
interno ed esterno (ho dato per scontato alcune cose che specifico
ora...). Allora l'architettura della cosa è la seguente:
LAN+ServerMail_INTERNO------FW---------INTERNET
|
|
DMZ_con_ServerMail_ESTERNO
Con server mail esterno in DMZ si vuole intendere ESTERNO alla LAN, ma
comunque ha IP privato (classi di IP di LAN e DMZ sono diverse...) e
effettivamente c'è da stare attenti al relay facendo NATTING sul
firewall (ci stavo pensando giusto poco fa e devo capire come
risolverlo...).
Ora, in questa situazione:
Il ServerMail Interno mantiene gli account utente e invia la posta al
server Mail Esterno che NON mantiene gli account utente.
Il Server Mail esterno accetta la posta da INTERNET diretta al mio
dominio e la invia (dopo averla controllata) all'interno. Fa la stessa
cosa al contrario: accetta la posta dall'interno (cioè dal server mail
interno), la filtra, e la invia a destinazione. Quindi soltanto il
server in DMZ (cioè quello ESTERNO) effettua i filtraggi del caso (a
parte alcuni controlli base che esegue anche il server mail interno).
Ovviamente vorrei evitare che lo spam entri ed esca, per quello sto
specificando che il server mail ESTERNO (cioè in dmz come da figura) che
esegue i filtraggi nei due sensi.
>>> Infatti ho l'idea che, al
>>> contrario, debba usare il TRANSPORT anche se non è molto chiaro.
>>
>>
>
>esatto. la sintassi e' semplicissima (man 5 transport):
>
>example.com smtp:bar.example:2025
>
>che, ipotizzando che nel DNS hai dato impostato nel record MX il server
>"front" con il nome front e all'altro hai dato il nome dmz, per te
>potrebbe diventare qualcosa del tipo:
>
>miodominio.tld smtp:dmz.miodominio.it:25
>
>(da scrivere nel server front; sul server dmz assolutamente non va
>messo, devi usare la direttiva relayhost di main.cf, che ha senso per
>tutti quegli indirizzi non locali)
>
>
>
>
Ecco, qui c'è la confusione. Mi pare di capire che hai invertito il
senso che ho dato io alle cose :D Per come è presentata l'architettura
nello schema sopra allora la direttiva transport da mettere sul server
in DMZ (quello che tu chiami "front"...) è:
miodominio.tld stmp:SERVER_INTERNO_LAN.tld:25
Cioè: tutto quello che arriva diretto al mio dominio sul server che è a
"contatto" con internet (cioè quello in DMZ :D) mandalo al server mail
INTERNO alla LAN. Metto tutto tipo in /etc/postfix/transport e lancio un
bel postmap /etc/postfix/transport abilitando in main.cf il transport:
transport_maps = hash:/etc/postfix/transport
>>> relayhost=[servermail_in_dmz]
>>
>>
>
>no !
>relayhost=front.miodominio.tld
>
>puoi usare sia il nome, sia l'IP
>
>
>
Lo stesso qui. E' giusto come intendevo :D no? Essendo servermail_in_dmz
quello "al di fuori" della LAN, è quello preposto all'invio effettivo
delle mail. Mi sa che abbiamo detto le stesse cose ma invertito il
significato dei termini, per questo c'è stata la confusione :D
>se giungono dal server dmz (o meglio, dall'IP con cui ne fai il NAT)
>sono accettate ed inviate (direttiva mynetworks di main.cf);
>se giungono da internet, se sono destinate a miodominio.tld
>(relay_domains di main.cf) allora vengono accettate, processate, ed
>inviate (tramite il transport) al server dmz.miodominio.tld; altrimenti
>rispondi un un relay access denied (occhio a non diventare un open relay...)
>
>
>
Eh si hai invertito il significato, effettivamente ho tralasciato lo
schema dell'architettura che dovevo mettere subito, scusa :D
Stando così le cose ora io dicevo: il server mail ESTERNO (in dmz :D) ha
IP privato (classe diversa rispetto a quella in LAN) e ha come gateway
l'FW. Quindi l'inoltro "in internet" delle mail, per il server mail
esterno (che riceve le mail dal server INTERNO), fila liscio visto che
recapita la mail al gateway (il FW) con la giusta destinazione.
>spiegati bene, non e' chiarissimo...
>
>
>
Spero si sia capito di più ora, TNX!
>Ciao
>Manuel
>
Ciao e grazie ancora!
Maggiori informazioni sulla lista
bglug