[Postfixbuch-users] DMZ

Peer Heinlein p.heinlein at jpberlin.de
Do Dez 5 16:40:09 CET 2002


Am Donnerstag, 5. Dezember 2002 15:32 schrieb Lars Behrens:


Du verdrehst hier zwei Sachen, wenn ich Dich recht verstanden habe.

Dein Problem ist ein *reines* TCP/IP-Problem, mit Postfix hat das 
nichts zu tun. Denn die Frage ist doch nur: Den Server (bzw. die 
IP), die Du bei Postfix einträgst, muß Postfix erreichen können.

Genauer: Muß der *HOST* auf dem Postfix läuft, erreichen können. 
Postfix selbst kümmert sich ja nicht um TCP/IP-Routing, sondern der 
Server/das Linux!

> * ob ich in der postfix/transport auch den Eintrag einer privaten
> IP vornehmen kann (bloss: woher weiss dann der Postfix in der DMZ,
> wo er die Mails hinschicken soll?

Was ist schon eine "private" IP? Ob 62.8.206.147 oder 192.168.1.50 
ist technisch gesehen *KEIN* Unterschied. Trag ein, was Du willst. 
Die Frage ist nur: Kann man da hinrouten?

"Private" IP sagt nur aus, daß sich die Menschheit drauf geeinigt 
hat, daß jeder diese IPs für Heimnetzwerke o.ä. nimmt und diese nie 
im Internet für echte Server benutzt werden. Mehr sagt das nicht 
aus. Die Server selbst haben von solchen Feinsinnigkeiten doch 
keinen Schimmer, das ist denen Wurscht. IP ist IP.

*Natürlich* kannst Du als auch eine private IP eintragen (bzw. einen 
Hostnamen, der ggf. auf  die private IP zeigt).

NUR: Du mußt halt ein Routing aufsetzen, so daß dieser Servert an 
diese private IP kommt!

"/etc/route" ist Dein freund, die Programme "ping" und "traceroute" 
helfen Dir. Das ist TCP/IP-Krempel und keine Frage rund um Postfix. 
:-)

> * wie ich die Port- /Adressübersetzung bewerkstelligen soll ­
> schliesslich kann ich ja vom Postfix keine Mails an eine private
> Nummer schicken bzw. er kann mit privater IP hinter der äusseren
> FW doch eigentlich keine annehmen...? >> PAT / statisches NAT?
> DNAT...?

? Ist doch Wurscht!

Als Server muß er eine echte IP haben, sonst ist er vom Rest des 
Internets aus nicht erreichbar. Gib ihm die. 

Wenn Du in Deinem LAN dann (nicht in der DM) lokale IPs benutzt, ist 
das ja `ne ganz andere Frage.

Du mußt Deinen Servern im DMZ halt nur das Routing in das LAN 
erklären. Aber das müßtest Du so oder so -- egal ob das nun 
"private" IPs sind, oder nicht. Solange die DMZ-Servere keine Pakete 
an das LAN Routen können, klappt es ganz grundsätzlich eben nicht.

Du mußt in /etc/route bei Deinen DMS-Servern eintragen, daß das 
LAN-Netz über die innere Firewall geroutet wird. -Das war`s. Mit 
Postfix hat das nix zu tun.

Peer



Mehr Informationen über die Mailingliste Postfixbuch-users