Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2363 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Masquerade to private - Does it have any risk?

una
I set DNAT on some mailservers, and it can recieve or send any e-mails from/to internet.
but it couldn't send to internal mailservers.

server A 1.1.1.1 -> 192.168.0.1
server B 1.1.1.2 -> 192.168.0.2

I know the solution of this case is setup internal nameservers that arrows A->192.168.0.1 ...

But I try this solution below, and it works well.

1.set group mailservers {192.168.0.1,192.168.0.2}
2.set masquerade {mailservers} -> private

they can send e-mail to internet and private well.
but i don't know this solution has some risk.

what dou you think?

una


This thread was automatically locked due to age.
Parents
  • 0
    Una,

    I'm no expert, but I would thik this would defeat the purpose of having a DMZ.  Again, I could be way off base, I'm just starting to learn firewalls myself.  
  • 0 in reply to MadHatter
    thank you for your response.

    I considered the servers set on DMZ.

    But we set the servers in internal network for our mainly needs.
  • 0 in reply to una
    If the problem is that the two mail server can't talk to each other because of DNS. You could edit the hosts file on each of the servers and add the address of the other server
    On A
    1.1.1.2  mail.serverbdomain.com
    On B
    1.1.1.1  mail.serveradomain.com

    Then the mail servers would not use DNS to resolve the name of the other server, but the local hosts file instead

    Josh
  • 0 in reply to PJPorch
    Thank you for your response.

    I know what the hosts file works.
    But actually our mailservers will be up to 100.

    So, we cannot setup the 'hosts' file in each servers....
    and, the solutions I tryed was very simple and works well.
    But I don't know this solution has any security risk or network looping.
  • 0 in reply to una
    quote:
    Originally posted by una:
    Thank you for your response.

    I know what the hosts file works.
    But actually our mailservers will be up to 100.

    So, we cannot setup the 'hosts' file in each servers....
    and, the solutions I tryed was very simple and works well.
    But I don't know this solution has any security risk or network looping.


    The security risk is this:

    The DMZ is setup as a closed environment, its designed so that if someone gets into the DMZ they can't get anywhere else except the DMZ. 

    So you put servers in the DMZ that are available and might potentially be compromised.

    Having a DMZ means accepting some limitations that it imposes, for example its no point having a server in the DMZ and then opening up the full range of Netbios ports to the Green (internal) network, that would defeat the object of having a DMZ in the first place.

    If you have 100 mail servers then the sensible thing to do would be to have an internal DNS cacheing server in the DMZ for those servers.

    There are obviously many other ways you could do it, but my concern is that you have 100(?) mail servers! if that is the case you obviously have a fairly large network, are you happy risking that if someone gets access to one of those mail servers the then have an open run of your internal network?

    One other option is to use the DNS proxy on Astaro as the DNS server for the mail servers. Have you tried that?

    [ 27 May 2002: Message edited by: Biffa ]

  • 0 in reply to Biffa
    Biffa,
    Thanks for your reply.

    At last, I have understood why everybody would need DMZ.

    I will revise the network with DMZ architecture.

    It's curiously about our many mailservers?
    Simply, All clients have own SMTP server in each machine.
  • 0 in reply to una
    When you say "own SMTP server" do you mean each machine handles its own email domain and has MX records that point to each machine?

    Or do you mean that each machine recieves and sends email from a central server using SMTP?
  • 0 in reply to Biffa
    Our internal system is a bit strange.
    All clients have own SEND mail service in each machine and they receive the mail from one POP3 server.
    So, their mailer's setting is below,

    send : 127.0.0.1
    receive : 192.168.0.x
Reply
  • 0 in reply to Biffa
    Our internal system is a bit strange.
    All clients have own SEND mail service in each machine and they receive the mail from one POP3 server.
    So, their mailer's setting is below,

    send : 127.0.0.1
    receive : 192.168.0.x
Children
No Data