Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » UNIX системы
Страницы: 1
RSS
DMZ
 
#1
Это нравится:0Да/0Нет
04.06.2003 20:42:53
Hi ppl !

Назрел вопрос :

имеется DMZ и TRUSTED... в DMZ стоит MTA1 в TRUSTED - MTA2 ...
всю входящую почту принимает MTA1 и нужно тупо релеить ее на MTA2.  Все бы ничего ... да условие задачки такое : все входяшие syn в TRUSTED полностью запрещены ... как быть ?
рассматривались варианты uucp и fetchmaip/pop3 ...  more ideas ?
 
 
 
#2
Это нравится:0Да/0Нет
04.06.2003 20:48:42
Софт на МТАx имеет значение?

;---------
;NK
 
 
 
#3
Это нравится:0Да/0Нет
04.06.2003 20:51:28
[QUOTE]__NK пишет:
Софт на МТАx имеет значение?


OS - linux ... MTA - обсуждабельно ...  что подойдет лучше то и будет ...
кстати есть мысль попробовать заюзать ETRN ... но пока untested
 
 
 
#4
Это нравится:0Да/0Нет
04.06.2003 22:54:26
а ты по ком порту создай соединение между дмз и трустед
вот тебе и параноидальная секурность :)
 
 
 
#5
Это нравится:0Да/0Нет
05.06.2003 10:01:15
Цитата
lOOSky пишет:
а ты по ком порту создай соединение между дмз и трустед
вот тебе и параноидальная секурность :)

а толку ? при получения доступа к ДМЗ такая секурность сводится на нет ...
еще идеи ?
 
 
 
#6
Это нравится:0Да/0Нет
05.06.2003 10:22:41
слушай, друг
ну ты ведь сам уже на все ответил
если в трастед должны быть запрещены все соединения, то пусть соединения идут из трастед ETRN командыми
оперативность потеряешь, но тут что-то одно: или оперативность или секурность

а предыдущий совет, имхо отвечал поставленному тобой условию задачи :)
 
 
 
#7
Это нравится:0Да/0Нет
05.06.2003 10:28:39
btw, на opennet'е по этой теме море информации
 
 
 
#8
Это нравится:0Да/0Нет
05.06.2003 11:10:17
Цитата
lOOSky пишет:
btw, на opennet'е по этой теме море информации

В том то все и дело ) я думал что кто-то что-то скажет из практики ... поставим вопрос по-другому - кто юзает ETRN ? и как это выглядит на практике ?

ЗЫ на opennet.ru не нашел ничего вразумительного ... наверно плохо смотрел ... ткните носом ?
 
 
 
#9
Это нравится:0Да/0Нет
05.06.2003 11:16:45
Есть проще вариант МТА1 складывает почту в ящик всю а МТА2 забирает по pop3 к примеру раз 10-20 мин
 
 
 
#10
Это нравится:0Да/0Нет
05.06.2003 11:18:35
Цитата
Interloper пишет:
Есть проще вариант МТА1 складывает почту в ящик всю а МТА2 забирает по pop3 к примеру раз 10-20 мин

это не проще ... и некошерно ...
 
 
 
#11
Это нравится:0Да/0Нет
05.06.2003 11:28:11
Цитата
maxxik пишет:
Цитата
Interloper пишет:
Есть проще вариант МТА1 складывает почту в ящик всю а МТА2 забирает по pop3 к примеру раз 10-20 мин

это не проще ... и некошерно ...

Насчет простоты и гемороя - можно и поспорить. Как и насчет паранои с безопасностью.
 
 
 
#12
Это нравится:0Да/0Нет
05.06.2003 11:30:08
у моих европейских коллег именно так и настроено, но сам я такое ручками не делал. почта с моего сервака релеится в европу, а там уже шлюз наружу.

зы: а ты какие слова в поиске набирал?
 
 
 
#13
Это нравится:0Да/0Нет
05.06.2003 11:48:00
Цитата
Interloper пишет:
Цитата
maxxik пишет:
Цитата
Interloper пишет:
Есть проще вариант МТА1 складывает почту в ящик всю а МТА2 забирает по pop3 к примеру раз 10-20 мин

это не проще ... и некошерно ...

Насчет простоты и гемороя - можно и поспорить. Как и насчет паранои с безопасностью.

давай поспорим ... для pop3 надо будет заводить мультидроповый ящик на MTA1 ... а учитывая то что fetchmail криво обрабатывает некотрые хидеры - это уже аргумент чтобы отказаться от такого решения ...
 
 
 
#14
Это нравится:0Да/0Нет
05.06.2003 11:49:18
Цитата
lOOSky пишет:
у моих европейских коллег именно так и настроено, но сам я такое ручками не делал. почта с моего сервака релеится в европу, а там уже шлюз наружу.

зы: а ты какие слова в поиске набирал?

вот-вот ... буду пока смотреть в сторону etrn ...

слова ? DMZ однако )
 
 
 
#15
Это нравится:0Да/0Нет
05.06.2003 12:19:37
Цитата
maxxik пишет:

слова ? DMZ однако )

a etrn mta?
 
 
 
#16
Это нравится:0Да/0Нет
05.06.2003 12:27:36
Цитата
lOOSky пишет:
Цитата
maxxik пишет:

слова ? DMZ однако )

a etrn mta?

просто etrn ... мало там информации ... очень мало ...
 
 
 
#17
Это нравится:0Да/0Нет
05.06.2003 13:11:51
я тут с братками посоветовался
вариант прохождения почтового траффика через фаервол может быть неприемлемым, если железка на фаерволе слабаватая
а etrn не увеличивает секурность, а только позволяет обойти политику, диктующую невозможность инициализации соединения в трустед
а если фаерволл слабоват - прямое соединение между mta1 и mta2 по uucp предпочтительнее.

поищи по uucp
 
 
 
#18
Это нравится:0Да/0Нет
05.06.2003 13:37:50
Цитата
lOOSky пишет:
я тут с братками посоветовался
вариант прохождения почтового траффика через фаервол может быть неприемлемым, если железка на фаерволе слабаватая
а etrn не увеличивает секурность, а только позволяет обойти политику, диктующую невозможность инициализации соединения в трустед
а если фаерволл слабоват - прямое соединение между mta1 и mta2 по uucp предпочтительнее.

поищи по uucp

т.е. ? а ккие рпоблемы при прохождении почтового трафика черз файрвол ?

а по-поводу etrn - возможно это то что нужно ... хотя я не уверен что очередь будет отдавать именно по тому соединению по которому пришла etrn ...
 
 
 
#19
Это нравится:0Да/0Нет
05.06.2003 14:38:24
Цитата
maxxik пишет:

т.е. ? а ккие рпоблемы при прохождении почтового трафика черз файрвол ?
гигабайты лишнего траффика (у нас сотни гигабайт)
слабый фаерволл просто может задосится
нужно очень четко рассчитать имеющиеся возможности
 
 
 
Страницы: 1
Читают тему