[zorp-hu] Kezdjuk elolrol :)

Balazs Scheidler bazsi@balabit.hu
Thu, 18 Jan 2001 11:33:14 +0100 

> > Nem muszaly REDIRECT-el jatszanod, ha DirectedChainer-t hasznalsz. Szimplan
> > felhuzhatod a Zorp listener-jet a 25-os porton is. (persze ehhez szukseges a
> > cap_net_bind_service capability, mert 1024 alatt van)
> 
> Azert gondoltam a REDIRECT-re, mert - elkepzelesem szerint -
> az nem art, ha a tuzfalon is fut mail-szerver, de csak
> lokalisan tovabbitja a levelet, nem fogad kulso kapcsolatokat
> egyik labon sem. Ennek azert erzem szukseget, hogy a kulonbozo
> cron, snort, stb. jobok eredmenyet megkapjam. Viszont, ha fut
> egy mail-szerver a tuzfalon, az elfoglalja a 25-os portot.
> Tehat elteszem onnan (doksiolvasas, hogy hogyan kell), vagy
> REDIRECT :) Vagy a REDIRECT nelkul is fel tudom huzni a Zorp-ot
> a 25-os portra, annak ellenre, hogy ott van a mail-szerver?

ha ssmtpd-t hasznalsz, az nem nyit portot, viszont kuld levelet a megadott
smarthostnak.

> 
> > Amugy jonak tunik, csak arra vigyazz, hogy a fenti modszerrel a belso mail
> > szerver a tuzfal cimet fogja latni klienskent, ezert a relay control
> > megszunik. Ha ezt el akarod kerulni, akkor be kell kapcsolnod a forge_addr
> > parameteret a DirectedChainer-nek, igy:
> > 
> > DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
> 
> Erre talan nincs szukseg, ha nem a mail-szerver ellenorzi a
> kliensek jogosultsagat, hanem a tuzfal nem engedi oda azt,
> aki nem levelezhet.

ez igaz, de ha internetrol akarsz levelet fogadni, akkor szukseged lesz ra.
a tuzfal - mivel meg nincs SMTP proxy - nem tudja, hogy a level neked szol,
vagy relayezni akar rajtad keresztul.

> > > Egy masik kerdesem az lenne, hogy az szerintetek rossz
> > > elkepzeles-e, ha a tuzfalon nincs mail-szerver, hanem a
> > > zorp dobja at az smtp kapcsolatokat a dmz-ben levo
> > > szerverre?
> > 
> > mindegyiknek van elonye is, hatranya is.
> 
> Ujra nekifutok :) Mondjuk van mail-szerver, de csak lokalis
> levelkuldest vegez. Es a Zorp csinalja az "atdobalast".
> Olyan hatranya van-e ennek a felallasnak, ami a biztonsagot
> komolyan veszelyezteti?

a tuzfalra ne tegyel local delivery-t, egy ssmtp boven megteszi. a relayen
kivul nem lehet nagy gond.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
     url: http://www.balabit.hu/pgpkey.txt