Linuxo Forumi

Zanima me kako dozvoliti pristup Mail serveru spolja, tj. kako omoguciti nekome sa udaljene lokacije da pristupi sluzbenom mail-u.
Mail i DNS serveri su u DMZ zoni. Koristimo Open Webmail.
Iptables firewall-a izgleda ovako:
[root@nesto sysconfig]# cat iptables
# Generated by iptables-save v1.2.9 on Mon Nov 8 11:00:07 2004
*filter

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
Na Mail serveru su Enable sljedeci servisi: SMTP, DNS, WWW, SSL a Iptables na njemu ne postoji.

Usla sam u Setup i Firewall configuration. U Customize je sljedece stanje: Trust interface eth0 i eth1 nisu cekirani.
Cekirano je SSH, i WWW(HTTP) i dodato https. Treba li cekirati Mail(SMTP)?
Da li, gdje i kako treba raditi forwarding?
O Linux znam jako, jako malo, a konfiguraciju uredjaja je radila druga osoba.
Ndam se da mi neko moze pomoci!

Pokusacu da odgovorim na na ono sto znam.
Mail server je posebna masina, kao i DNS server i Firewall. Mail serveru pristupamo iz interne mreze preko web-a i postu regularno razmjenjujemo sa spoljnim svijetom. Sada treba omoguciti da ljudi iz neke udaljene kancelarije , preko Interneta, otvore svoj sluzbeni mejl, znaci  bez obzira gdje se nalazili.
Koristiomo Open Webmail, a na Mail serveru je instalisan Sendmail, Apache, OpenSSL, Firestarter, Tripware. Mail server ima privatnu adresu, a nat se radi na firewallu.

To bi ostalo kao posljednja opcija.

  Sto jednostavno kad moze komplikovano 

Ok. Sta bi vam najvise odgovaralo: da korisnici upotrebljavaju vas webmail (ovo je najlakse resenje i verovatno najbezbednije) ili da koriste svoje mail klijente da skidaju i salju postu? I zaista, ko vam je tako zakomplikovao zivot i zasto pobogu kad je to sto imate moglo tako lako da se implementira i da bude jednostavno za odrzavanje.

Aha. Onda je lako. Posto pretpostavljam da je scenario sledeci:

Na firewallu nemate web server - dakle nista ne slusa na portu 80. Takodje uzimam za fakticko stanje da na toj masini gde vam je webmail nema nikakvih drugih sajtova tj. da kad se ide na web server te masine dobijate webmail. U tom slucaju je najbolje resenje da se saobracaj sa rutera i porta 80 preusmerava na webmail masinu. Sintaksa za IPTables bi trebalo da bude ovako nesto:


A - IP Firewalla
B - Lokalni IP webmail masine - verovatno C klasa - 192.168.x.x.

Nisam preterani ljubitelj IPTables pa bi bilo lepo da neko od korisnika istog firewalla potvrid ova pravila odozgo. Moj domen su pravi firewall sistemi Packet filter i Cisco.

P.S. Koji je to Linux na firewallu? Red Hat?

Vrlo je moguce da RH ne dozvoljava petljanje po IPT rucno. Kao onaj ogavni YaST na SuSE. Naravno, nista te ne kosta da probas. Samo pokreni ove dve komande jednu za drugom pa uradi iptables -L da vidis da li su na listi. Ako jesu onda radi OK. Ako ne, onda imam drugo resenje koje ce podjednako lepo raditi posto je port 80 vec otvoren i radi lepo a resenje je jako elegantno. Ukoliko ovo ne radi javni se pa cu ti resiti problem drugacije.

P.S.
Koji je genije stavio RH kao ruter sistem?

P.P.S Umesto onog eth0 stavi svoju karticu...vrlo verovatno to jeste eth0 ali mozda i nije. Ne znam kakva ti je mreza.

Nakon firewall reboot onaj novi uneseni kod nije zapamcen.