[bglug] Sistemistica: Postfix in situazioni particolari.

paradox paradox@cheapnet.it
Gio 14 Apr 2005 10:56:26 CEST 

Ciao

Grazie Manuel, prima di tutto, per la tua disponibilità. :D

Si c'è stata un po' di confusione per quello che intendiamo con DMZ, 
interno ed esterno (ho dato per scontato alcune cose che specifico 
ora...). Allora l'architettura della cosa è la seguente:

LAN+ServerMail_INTERNO------FW---------INTERNET
                            |
                            |
                 DMZ_con_ServerMail_ESTERNO

Con server mail esterno in DMZ si vuole intendere ESTERNO alla LAN, ma 
comunque ha IP privato (classi di IP di LAN e DMZ sono diverse...) e 
effettivamente c'è da stare attenti al relay facendo NATTING sul 
firewall (ci stavo pensando giusto poco fa e devo capire come 
risolverlo...).

Ora, in questa situazione:

Il ServerMail Interno mantiene gli account utente e invia la posta al 
server Mail Esterno che NON mantiene gli account utente.
Il Server Mail esterno accetta la posta da INTERNET diretta al mio 
dominio e la invia (dopo averla controllata) all'interno. Fa la stessa 
cosa al contrario: accetta la posta dall'interno (cioè dal server mail 
interno), la filtra, e la invia a destinazione. Quindi soltanto il 
server in DMZ (cioè quello ESTERNO) effettua i filtraggi del caso (a 
parte alcuni controlli base che esegue anche il server mail interno). 
Ovviamente vorrei evitare che lo spam entri ed esca, per quello sto 
specificando che il server mail ESTERNO (cioè in dmz come da figura) che 
esegue i filtraggi nei due sensi.

>>> Infatti ho l'idea che, al 
>>> contrario, debba usare il TRANSPORT anche se non è molto chiaro.
>>    
>>
>
>esatto. la sintassi e' semplicissima (man 5 transport):
>
>example.com      smtp:bar.example:2025
>
>che, ipotizzando che nel DNS hai dato impostato nel record MX il server 
>"front" con il nome front e all'altro hai dato il nome dmz, per te 
>potrebbe diventare qualcosa del tipo:
>
>miodominio.tld	smtp:dmz.miodominio.it:25
>
>(da scrivere nel server front; sul server dmz assolutamente non va 
>messo, devi usare la direttiva relayhost di main.cf, che ha senso per 
>tutti quegli indirizzi non locali)
>
>
>  
>
Ecco, qui c'è la confusione. Mi pare di capire che hai invertito il 
senso che ho dato io alle cose :D Per come è presentata l'architettura 
nello schema sopra allora la direttiva transport da mettere sul server 
in DMZ (quello che tu chiami "front"...) è:

miodominio.tld   stmp:SERVER_INTERNO_LAN.tld:25

Cioè: tutto quello che arriva diretto al mio dominio sul server che è a 
"contatto" con internet (cioè quello in DMZ :D) mandalo al server mail 
INTERNO alla LAN. Metto tutto tipo in /etc/postfix/transport e lancio un 
bel postmap /etc/postfix/transport abilitando in main.cf il transport: 
transport_maps = hash:/etc/postfix/transport

>>> relayhost=[servermail_in_dmz]
>>    
>>
>
>no !
>relayhost=front.miodominio.tld
>
>puoi usare sia il nome, sia l'IP
>
>  
>
Lo stesso qui. E' giusto come intendevo :D no? Essendo servermail_in_dmz 
quello "al di fuori" della LAN, è quello preposto all'invio effettivo 
delle mail. Mi sa che abbiamo detto le stesse cose ma invertito il 
significato dei termini, per questo c'è stata la confusione :D

>se giungono dal server dmz (o meglio, dall'IP con cui ne fai il NAT) 
>sono accettate ed inviate (direttiva mynetworks di main.cf);
>se giungono da internet, se sono destinate a miodominio.tld 
>(relay_domains di main.cf) allora vengono accettate, processate, ed 
>inviate (tramite il transport) al server dmz.miodominio.tld; altrimenti 
>rispondi un un relay access denied (occhio a non diventare un open relay...)
>
>  
>
Eh si hai invertito il significato, effettivamente ho tralasciato lo 
schema dell'architettura che dovevo mettere subito, scusa :D

Stando così le cose ora io dicevo: il server mail ESTERNO (in dmz :D) ha 
IP privato (classe diversa rispetto a quella in LAN) e ha come gateway 
l'FW. Quindi l'inoltro "in internet" delle mail, per il server mail 
esterno (che riceve le mail dal server INTERNO), fila liscio visto che 
recapita la mail al gateway (il FW) con la giusta destinazione.

>spiegati bene, non e' chiarissimo...
>
>  
>
Spero si sia capito di più ora, TNX!

>Ciao
>Manuel
>
Ciao e grazie ancora!

Maggiori informazioni sulla lista bglug