Céges intranet szerver külső elérhetőséggel is.

 ( dejo | 2005. május 19., csütörtök - 12:12 )

Céges intranet szerver külső elérhetőséggel is.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Fix IP címmel és hozzá tartozó domainnel rendelkező ADSL internet kapcsolatunk van.
Szeretnék a tűzfalon belülre egy olyan szervert beállítani, amin kb. 40-60 e-mail fiókot kezelő mailszerver lenne, és ezt egy web-maillel kívülről is el lehetne érni. A szerveren SPAM és vírus szűrést is szeretnék megvalósítani. Mindehhez melyik mail szervert és web-mailt, illetve kiegészítő programokat ajánljátok?

Ezen kívül tervezek ugyanerre a gépre egy csoportmunka szervert is, szintén külső belső elérhetőséggel. A Sugar-CRM csoportmunka szervert már ki is próbáltam, de megnéznék mást is. Mi van még ami magyar felülettel is elérhető? (Tudom létezik egy Csoport munka szoftveres levlista is a csoportmunka@lists_linux_hu, de nagyon néptelen, onnan sok tapasztalatot nem várhatok.)
Mindezt úgy kellene megoldani, hogy a kívülről jövő esetleges kérések az ADSL aszimetria miatt ne dugitsa be a teljes kapcsolatot, bár nem igazán lenne a címe publikus, csak a munkatársak számára.

szvsz (én ezeket használom):
apache2
imp/horde
postfix
Courier vagy cyrus imapra és pop3ra
spamassasin
clamav/amavis

a másikhoz:
szvsz a sugarcrm az jó választás, de érdemes megnézni pl a
phpgroupware-t is.
bár a csoportmunka, meg a crm fogalmak nem teljesen fedik egymást.

[quote:2ecc77b8a2="dejo"]
Szeretnék a tűzfalon belülre egy olyan szervert beállítani, amin kb. 40-60 e-mail fiókot kezelő mailszerver lenne, és ezt egy web-maillel kívülről is el lehetne érni.[/quote:2ecc77b8a2]

Tűzfalon belül == DMZ, igaz? :wink:

Misi

[quote:1b96790c28="Misi"]
Tűzfalon belül == DMZ, igaz? :wink:
Misi[/quote:1b96790c28]

Ezt még nem döntöttem el. Mert a belső felhasználók internethozzáférését, főleg a sávszélesség használatát is szabályozni kellene. ("Jajj, de jó a munkahelyen ingyen lehet letölteni minden vackot, másnak meg már az e-mail sem működik miatta!" helyzet szabályozására.) És akkor úgy nézne ki, hogy van a tűzfal (iptables), azon belül ez a (nevezzük Intranet szervernek) gép, amin Squid is lenne a forgalom szabályozás végett, és ennek az Intranetes gépnek a belső hálókártyája menne a LAN switch-re.

Most, hogy így leírtam, nem is biztos, hogy jó ez így! Hiszen a tűzfal minden portot, ami engedélyezve van az Intranetes géphez forwardol.
Lehet, hogy mégis a DMZ-ben lesz a helye! De akkor kell még egy gép a Squid-nak, vagy azt is tegyem a tűzfalra?
(Jelenleg egy IPCop a tűzfal, de azon nem igazán lehet forgalomszabályozást csinálni. Van néhány közös használatú gép, azokat is csak úgy tudtam kivonni az internetkapcsolatból, hogy beletúrtam az IPCop squid.conf-jába, de bármit állítok az IPCopon a hivatalos WEB-es admin programmal, a squid.confot visszaírja.)

háát én így csinálnám:
(nem írtad, de fetételezem, egy IP-d van...)
kívül egy csomagszűrő kétlábú(a) vagy háromlábú(b) NAT
a) esetben: a külső NAT gép belső oldalán DMZ van szerverekkel plusz a lan-ba NAT-oló belső gép (vagy igazi tűzfal).
b) eset: a külső NAT-box egyik lába DMZ háló, másik lába LAN háló, harmadik meg az ADSL oldal

mindenképp DMZ-be kell neked a http és smtp szervergép, a leveleket bármilyen IMAP-os php-s csodával lehet olvasni (ekkor nem is kell POP vagy kifele figyelő IMAP....)

amúgy én az a) esetet szeretem jobban, mert b)-nél csak csomagszűrsz, ill. a) esetben két védelmi vonala van a LAN-nak. Hátránya a dupla NAT-olás, bár belül kihagyható, ha alkalmazásproxyval dolgozol (és ez már tényleg tűzfal lenne, nem csak packetfilter...)

[quote:aa3e7907d2="dejo"]
(Jelenleg egy IPCop a tűzfal, de azon nem igazán lehet forgalomszabályozást csinálni. Van néhány közös használatú gép, azokat is csak úgy tudtam kivonni az internetkapcsolatból, hogy beletúrtam az IPCop squid.conf-jába, de bármit állítok az IPCopon a hivatalos WEB-es admin programmal, a squid.confot visszaírja.)[/quote:aa3e7907d2]

Én ezügyben kérdeznélek.
Szintén IPCoppal "küzdök", és hogy is mondjam, nem vagyok nagyon elégedett a beépített forgalomszabályozásával...
Ha szépen megkérlek, bemásolnád a saját squid.conf megoldásodat?

Köszi

[quote:07528f4038="szmiatf"]háát én így csinálnám:
(nem írtad, de fetételezem, egy IP-d van...)
kívül egy csomagszűrő kétlábú(a) vagy háromlábú(b) NAT
a) esetben: a külső NAT gép belső oldalán DMZ van szerverekkel plusz a lan-ba NAT-oló belső gép (vagy igazi tűzfal).
b) eset: a külső NAT-box egyik lába DMZ háló, másik lába LAN háló, harmadik meg az ADSL oldal
[/quote:07528f4038]

Akkor mégis az első gondolat volt a jó?
Igen egy IP-címünk van.
[Internet]--[Tűzfal iptables]---[Intranet szerver]---[belső tűzfal iptables/Squid]--[LAN]

Ilyesmire gondoltál?
vagy inkább erre?
[Internet]--[Tűzfal iptables]--|---[belső tűzfal iptables/Squid]--[LAN]
_______________________|---[Intranet szerver]

(nem az erősségem ez az ASCII grafika)
És ha azt mondom, hogy van még egy külső telephelyünk is ami 2,4GHz-es wirelesslel jön be, azt hova kötnéd?

[quote:51e036aaf8="msandor"]
Ha szépen megkérlek, bemásolnád a saját squid.conf megoldásodat?
Köszi[/quote:51e036aaf8]

Írj a dejo@index.hu-ra és elküldöm.
Itt túl nagy lenne, meg némi magyarázat is kell hozzá!
Az IPCop honlapjáról van egy link a leírásra az alapján csináltam: http://www.dageek.co.uk/ipcop/squid/

[quote:d35485718a="dejo"]
Írj a dejo@index.hu-ra és elküldöm.
Itt túl nagy lenne, meg némi magyarázat is kell hozzá!
Az IPCop honlapjáról van egy link a leírásra az alapján csináltam: http://www.dageek.co.uk/ipcop/squid/[/quote:d35485718a]

ezt az oldalt én is ismerem, de ez csak a nemkívánatos oldalak kiszűrésére használható, te meg forgalom szabályozásrál (QOS) írtál fentebb...

[quote:2691054af5="msandor"]
ezt az oldalt én is ismerem, de ez csak a nemkívánatos oldalak kiszűrésére használható, te meg forgalom szabályozásrál (QOS) írtál fentebb...[/quote:2691054af5]
Elküldtem arra a címre, amit a honlapodon találtam. Ha már a felhasználói profilodból kispóroltad a publikus e-mail címet!

[quote:1b5aaca3a6="dejo"][quote:1b5aaca3a6="msandor"]
ezt az oldalt én is ismerem, de ez csak a nemkívánatos oldalak kiszűrésére használható, te meg forgalom szabályozásrál (QOS) írtál fentebb...[/quote:1b5aaca3a6]
Elküldtem arra a címre, amit a honlapodon találtam. Ha már a felhasználói profilodból kispóroltad a publikus e-mail címet![/quote:1b5aaca3a6]
azért köszi és bocsi :-)

[quote:4f2e9ea2d3="msandor"]ezt az oldalt én is ismerem, de ez csak a nemkívánatos oldalak kiszűrésére használható, te meg forgalom szabályozásrál (QOS) írtál fentebb...[/quote:4f2e9ea2d3]qos = quality of service. nézz utána!
erre szvsz télleg nem a squid való!

én így csinálnám:

1. gép: gw:
3 lábbal (1 a nethez, 1 a dmzhez, 1 pedig a lanhoz)
iptables jól belőve, a kívánt dolgok portforwardolva, forgalomszabályozás a natolt lan felé. squid proxy, meg egyéb értelmes és fontos dolgok.

2. gép: dmz:
ide jönnének a szolgáltatások, amiket a nyitó postban írtál.
ha valaki a lan felől akarja elérni, akkor a gw routejában (vagy az iptables prerooting táblájában - szvsz ez a jobb) tudod megmondani, hogy az ide jöjjön.

persze, ha nagyon akarod, akkor ezt az egészet meg lehet oldani egy géppel is. a költségcsökkentésen kívül más érv szerintem nem nagyon hozható fel mellette.

a sávszélesség korlátozást meg már itt a hupon is számtalanszor kitárgyalt(u|á)k. keress rá. varázsszavak: traffic shaper, lartc, arbitrator, tc. és itt jön be a qos is a képbe.

van egyébként nagyon jó kis advanced routingos howto is pl a tldp-n, sőt még forgalomkorlátozásos is van. sajna nem a legfrissebbek, da kiindulásnak nagyon jók.

[quote:04f18cd89a="mrbond"]qos = quality of service. nézz utána!

....

a sávszélesség korlátozást meg már itt a hupon is számtalanszor kitárgyalt(u|á)k. keress rá. varázsszavak: traffic shaper, lartc, arbitrator, tc. és itt jön be a qos is a képbe.

van egyébként nagyon jó kis advanced routingos howto is pl a tldp-n, sőt még forgalomkorlátozásos is van. sajna nem a legfrissebbek, da kiindulásnak nagyon jók.[/quote:04f18cd89a]
köszi a javítást, tudom, hogy mit jelent, azt is tudom, hogy elöszőr félreértelmeztem dejo zárójeles megjegyzését, magánban ezt meg is beszéltük

és köszi az infókat, utánna fogok nézni

[quote:86037672c1="dejo"][quote:86037672c1="szmiatf"]háát én így csinálnám:
(nem írtad, de fetételezem, egy IP-d van...)
kívül egy csomagszűrő kétlábú(a) vagy háromlábú(b) NAT
a) esetben: a külső NAT gép belső oldalán DMZ van szerverekkel plusz a lan-ba NAT-oló belső gép (vagy igazi tűzfal).
b) eset: a külső NAT-box egyik lába DMZ háló, másik lába LAN háló, harmadik meg az ADSL oldal
[/quote:86037672c1]

Akkor mégis az első gondolat volt a jó?
Igen egy IP-címünk van.
[Internet]--[Tűzfal iptables]---[Intranet szerver]---[belső tűzfal iptables/Squid]--[LAN]

Ilyesmire gondoltál?
vagy inkább erre?
[Internet]--[Tűzfal iptables]--|---[belső tűzfal iptables/Squid]--[LAN]
_______________________|---[Intranet szerver]

(nem az erősségem ez az ASCII grafika)
És ha azt mondom, hogy van még egy külső telephelyünk is ami 2,4GHz-es wirelesslel jön be, azt hova kötnéd?[/quote:86037672c1]

jaja, első a)
második b)

amúgy b)-nek lehet olyan gondja, ha nagyon kuka-pc-PI -es és kifagy, akkor se DMZ se net a LAN-nak, sesemmi....

wireless: attól függ :)
ha rendes wpa, radius, cert megoldható akkor direktbe a LAN-ba, ha nem, akkor DMZ-be és csak intraszervert+internetet kapnak....

[quote:05eec92a3d="dejo"]Fix IP címmel és hozzá tartozó domainnel rendelkező ADSL internet kapcsolatunk van.
Szeretnék a tűzfalon belülre egy olyan szervert beállítani, amin kb. 40-60 e-mail fiókot kezelő mailszerver lenne, és ezt egy web-maillel kívülről is el lehetne érni. A szerveren SPAM és vírus szűrést is szeretnék megvalósítani. Mindehhez melyik mail szervert és web-mailt, illetve kiegészítő programokat ajánljátok?
[/quote:05eec92a3d]

Szia

Probáld meg ezt: http://www.qmailrocks.org

Ezzel egyszerűen tudsz egy remek rendszert építeni.
Mindent tud amit szeretnél, és végig vezet az installon, több OP rendszerrel is.

[quote:7fc80426dc="msandor"]...te meg forgalom szabályozásrál (QOS) írtál fentebb...[/quote:7fc80426dc]

minek is qos adsl-re? vagy ha megis kell a forgalomszabalyozas, akkor az nem qos.