[bglug] Re: Re: Sistemistica: Postfix in situazioni particolari.

paradox paradox@cheapnet.it
Gio 14 Apr 2005 12:59:14 CEST 

Ciao!

>
>perfetto!
>  
>
Ekko ora ci siamo capiti :D

>solo una curiosita'... come mai hai deciso di utilizzare 2 server smtp?
>Io lo farei solo se c'e' bisogno di una certa divisione di carico
>(il primo filtra e il secondo fa il delivery) ma le puoi tenere 
>tranquillamente tutte e due in lan o in dmz
>
>Potresti far tranquillamente tutto con uno solo... in lan o in dmz ...
>l'importante è che hai un server dns interno che risolve le macchine sia 
>in lan che in (eventuale) dmz.
>
>oppure ci sono sottigliezze che non colgo o non hai specificato..
>
>  
>
La motivazione fondamentale del tutto è la SICUREZZA. La questione, come 
ho accennato nella mail iniziale, è un po' diversa da quella presentata 
(il concetto è il solito ma è diversa hehee qui sono volutamente 
criptico :D). Non si vogliono, per ragioni di sicurezza, mantenere 
account utenti su una macchina + esposta (come quella in DMZ) come non 
si vogliono tenere li le mail. Tutto qui + altre considerazioni di 
sicurezza :D

>>miodominio.tld   stmp:SERVER_INTERNO_LAN.tld:25
>>
>>Cioè: tutto quello che arriva diretto al mio dominio sul server che è a 
>>"contatto" con internet (cioè quello in DMZ :D) mandalo al server mail 
>>INTERNO alla LAN. Metto tutto tipo in /etc/postfix/transport e lancio un 
>>bel postmap /etc/postfix/transport abilitando in main.cf il transport: 
>>transport_maps = hash:/etc/postfix/transport
>>    
>>
>
>esatto, e il relayhost fa messo sul server che hai in LAN, altrimenti 
>tenterebbe il delivery diretto senza passare da quello in DMZ.
>
>  
>
Perfetto :D

>>Stando così le cose ora io dicevo: il server mail ESTERNO (in dmz :D) ha 
>>IP privato (classe diversa rispetto a quella in LAN) e ha come gateway 
>>l'FW. Quindi l'inoltro "in internet" delle mail, per il server mail 
>>esterno (che riceve le mail dal server INTERNO), fila liscio visto che 
>>recapita la mail al gateway (il FW) con la giusta destinazione.
>>    
>>
>
>aspetta: il delivery delle mail e' un conto, le route delle tue zone 
>private sono tutt'altra cosa.
>Non confondere il gateway con la consegna della posta. Il gateway e' 
>semplicemente la macchina a cui inviare tutti i pacchetti tcp/ip esterni 
>alla tua rete, non si occupa di dove inviare la posta.
>
>  
>
Si certo. Non voleva nuovamente creare confuzione, era una 
considerazione "strutturale", ovvio che l'fw non inoltra nessuna posta e 
che invia i pacchetti :D hehehehe alle "prime armi" con i servizi 
gestiti così ma non sprovveduto :D hehehehe

>A questo punto, sul server in DMZ hai 2 possibilita':
>- delivery diretto
>  
>
è la conf di default in postfix no?

>- relayhost verso il server del tuo provider.
>
>io ti consiglio vivamente la seconda, a meno che il tuo provider abbia 
>problemi di blacklist del suo server (o suoi server).
>  
>
Sto vagliando l'ipotesi...

>Se fai il delivery diretto, devi
>a) settare BENE le zone dirette e quelle inverse nel DNS
>  
>
In teoria sono settate bene se non fosse che essendo il DNS pure lui in 
DMZ ha non pochi "problemi" (non ancora testati...) di configurazioni 
adeguate avendo IP privato. Quindi come mi pare che accenni tu di 
seguito, la zona che riporta le traduzioni degli IP pubblici è 
configurata riportando l'FW come server-web,mail-server,nameserver 
etc...(ovviamente lui non svolge questi ruoli ma effettua DNAT).

>b) far settare correttamente nel dns che gestisce la classe di ip 
>pubblici che usi la zona inversa dell'IP con cui si presenta in internet 
>il server in DMZ (nattato dal fw, quindi e' l'ip pubblico del fw) 
>  
>
Messa così è un po' criptica questa frase ma credo/spero/suppongo voglia 
intendere quello che ho scritto appena sopra. :D

>c) sperare che la tua classe di ip pubblici non sia in qualche blacklist
>  
>
al momento non pare proprio :D

>Inoltre non sono sicuro, ma e' possibile che quando si presenta agli 
>altri mailserver lo faccia tirando fuori il suo IP PRIVATO di DMZ e 
>quindi probabilmente il mailserver remoto ti chiude subito la connessione.
>A volte mi capita addirittura che al mio si colleghino macchine che si 
>presentano come "localhost.localdomain (127.0.0.1)" AAARGH !!!
>(mix di malconfigurazione tra macchina, postfix, host.conf, hosts e dns)
>Come potrei non chiudergli la porta in faccia ??? :-)
>  
>
RABBRIVIDISCO!!! Ultra paura per tutto ciò! PIUUUUUUUUUUUURA! :D

A parte gli scherzi, non è un problema da poco quello che poni e 
sinceramente un paio di volte è capitato anche a me di vedere cose 
simili. Sinceramente quando si va in mezzo a configurazioni "complesse" 
dove entra la sicurezza (quindi macchine con ip privato dietro a 
firewall che fa natting, con servizi in split di ogni sorta a partire 
dal dns per arrivare ai mail server) diventa un macello...e...come 
diceva qualcuno: "lo scopriremo solo vivendo" (in questo caso: "provando").

Il vero problema è che se si capisce che le mail escono male, andare a 
scovare dove sta il problema è un macello: sarà postfix? sarà il DNS? 
GHGHGH...molto sux tutto ciò...ad ogni modo l'unica strada è provare :D

Grazie! Ad ogni modo per postfix vedrai che i problemi non saranno finiti :D

>Ciao
>Manuel
>
>  
>

Maggiori informazioni sulla lista bglug