Zimbra en una DMZ
389 views
Skip to first unread message
jfvera
Jan 24, 2009, 1:47:48 PM1/24/09
to zimbra grupo
Hola a tod@s,
el motivo de este mensaje es que tengo un problemilla, a ver si
alguien pueda darme un poco de luz sobre el tema, gracias de
antemano. El tema en cuestión es que quiero montar un servidor Zimbra
y que sea accedido desde internet. Por seguridad quisiera que el
servidor estuviera dentro de la red local y que se pudiera acceder a
sus servicios a través de una DMZ montada con un cortafuegos. El
correo saldría a través de un relay conectado directamente a
internet.
El tema es que tengo en mente dos posibles opciones pero no se cual
será mejor:
- Montar un proxy inverso con Squid en la DMZ y que se encarge de
dirigir las peticiones al servidor Zimbra que se encuentra en la red
local. (No lo he probado aún)
- Montar un servidor Zimbra sin datos en la DMZ, que únicamente se
encargue de enviar peticiones al que está en la red local. Esta parte
no la tengo muy clara, he leído el documento "Multiserver Install"
para ver como instalar los buzones, b.d. ldap y demás en distintos
servidores, pero qué necesitaría instalar para que únicamente hiciera
de enlace entra la dmz y la red local? He probado a instalar en un
equipo únicamente zimbra-core y a configurarle como servidor ldap otro
equipo con zimbra instalado completo con todos los módulos: mta, ldap,
etc, pero no he obtenido resultados, al hacer zmcontrol start obtengo
un mensaje de error:
Host localhost
Unable to determine enabled services from ldap.
Unable to determine enabled services. Cache is out of date or doesn't
exist.
Por lo que parece que no hay conexión.
- Otra opción que se me ocurre es montar un Apache en la DMZ y que
mande las peticiones al servidor de la red local.
No se si con todo este follón me habré explicado bien, espero que si.
Pues nada ese es mi problema; si alguien puede echarme un cable pues
muchísimas gracias de antemano. Si conoceis algún enlace donde pueda
culturizarme un poco pues bienvenido sea.
Nada más, un saludo.
el motivo de este mensaje es que tengo un problemilla, a ver si
alguien pueda darme un poco de luz sobre el tema, gracias de
antemano. El tema en cuestión es que quiero montar un servidor Zimbra
y que sea accedido desde internet. Por seguridad quisiera que el
servidor estuviera dentro de la red local y que se pudiera acceder a
sus servicios a través de una DMZ montada con un cortafuegos. El
correo saldría a través de un relay conectado directamente a
internet.
El tema es que tengo en mente dos posibles opciones pero no se cual
será mejor:
- Montar un proxy inverso con Squid en la DMZ y que se encarge de
dirigir las peticiones al servidor Zimbra que se encuentra en la red
local. (No lo he probado aún)
- Montar un servidor Zimbra sin datos en la DMZ, que únicamente se
encargue de enviar peticiones al que está en la red local. Esta parte
no la tengo muy clara, he leído el documento "Multiserver Install"
para ver como instalar los buzones, b.d. ldap y demás en distintos
servidores, pero qué necesitaría instalar para que únicamente hiciera
de enlace entra la dmz y la red local? He probado a instalar en un
equipo únicamente zimbra-core y a configurarle como servidor ldap otro
equipo con zimbra instalado completo con todos los módulos: mta, ldap,
etc, pero no he obtenido resultados, al hacer zmcontrol start obtengo
un mensaje de error:
Host localhost
Unable to determine enabled services from ldap.
Unable to determine enabled services. Cache is out of date or doesn't
exist.
Por lo que parece que no hay conexión.
- Otra opción que se me ocurre es montar un Apache en la DMZ y que
mande las peticiones al servidor de la red local.
No se si con todo este follón me habré explicado bien, espero que si.
Pues nada ese es mi problema; si alguien puede echarme un cable pues
muchísimas gracias de antemano. Si conoceis algún enlace donde pueda
culturizarme un poco pues bienvenido sea.
Nada más, un saludo.
Edwind Richzendy Contreras Soto
Jan 24, 2009, 7:25:34 PM1/24/09
to zimbr...@googlegroups.com
monta un relay en la DMZ con postfix + spamasassin + clamav y ya está,
el te redirecciona los correos a tu zimbra y saca los correos de tu
zimbra.
la única configuración a hacer en tu zimbra es desde la interfase web
administrativa indicarle la dirección de tu relay.
y en el relay permitir el acceso a enviar correos sin autenticación
desde la ip de tu zimbra y que todos los correos de entrada para tu
@tudominio.com los direccione a tu servidor zimbra.
el te redirecciona los correos a tu zimbra y saca los correos de tu
zimbra.
la única configuración a hacer en tu zimbra es desde la interfase web
administrativa indicarle la dirección de tu relay.
y en el relay permitir el acceso a enviar correos sin autenticación
desde la ip de tu zimbra y que todos los correos de entrada para tu
@tudominio.com los direccione a tu servidor zimbra.
Edwind Richzendy Contreras Soto
Jan 24, 2009, 7:28:36 PM1/24/09
to zimbr...@googlegroups.com
El día 25 de enero de 2009 19:55, Edwind Richzendy Contreras Soto
<rich...@gmail.com> escribió:
pero para que un usuario pueda ver la interfase web zimbra, es
recomendable a mi juicio un proxy inverso con squid.
No estoy seguro, pero todo lo anterior creo que se puede hacer con nginx.
<rich...@gmail.com> escribió:
> monta un relay en la DMZ con postfix + spamasassin + clamav y ya está,
> el te redirecciona los correos a tu zimbra y saca los correos de tu
> zimbra.
>
> la única configuración a hacer en tu zimbra es desde la interfase web
> administrativa indicarle la dirección de tu relay.
>
> y en el relay permitir el acceso a enviar correos sin autenticación
> desde la ip de tu zimbra y que todos los correos de entrada para tu
> @tudominio.com los direccione a tu servidor zimbra.
Ups se me olvido, lo anterior es solo para redireccionar el correo,
> el te redirecciona los correos a tu zimbra y saca los correos de tu
> zimbra.
>
> la única configuración a hacer en tu zimbra es desde la interfase web
> administrativa indicarle la dirección de tu relay.
>
> y en el relay permitir el acceso a enviar correos sin autenticación
> desde la ip de tu zimbra y que todos los correos de entrada para tu
> @tudominio.com los direccione a tu servidor zimbra.
pero para que un usuario pueda ver la interfase web zimbra, es
recomendable a mi juicio un proxy inverso con squid.
No estoy seguro, pero todo lo anterior creo que se puede hacer con nginx.
jfvera
Jan 25, 2009, 6:24:02 AM1/25/09
to zimbra grupo
Muchas gracias Edwind!,
con respecto a lo del relay de correo lo tenía más o menos claro. Tal
como me recomiendas voy a documentarme sobre postfix. Se que con
sendmail también se puede hacer, seguramente el que más me convenza
utilizaré.
Con respecto a la parte de interfaz web, he encontrado esto:
http://www.angelalonso.es/manuales/ModSecurity.pdf
voy a ponerlo en marcha a ver que tal. Tiene muy buena pinta.
Bueno, ya iré contando como va el tema. Gracias de nuevo y un saludo.
On 25 ene, 01:28, Edwind Richzendy Contreras Soto
> <richze...@gmail.com> escribió:
con respecto a lo del relay de correo lo tenía más o menos claro. Tal
como me recomiendas voy a documentarme sobre postfix. Se que con
sendmail también se puede hacer, seguramente el que más me convenza
utilizaré.
Con respecto a la parte de interfaz web, he encontrado esto:
http://www.angelalonso.es/manuales/ModSecurity.pdf
voy a ponerlo en marcha a ver que tal. Tiene muy buena pinta.
Bueno, ya iré contando como va el tema. Gracias de nuevo y un saludo.
On 25 ene, 01:28, Edwind Richzendy Contreras Soto
> <richze...@gmail.com> escribió:
fenix
Jan 25, 2009, 8:24:26 AM1/25/09
to zimbra grupo
La experiencia que yo tengo es montar dos servidores Zimbra, uno en la
"DMZ" (no estaba realmente en una DMZ, pero sí tenía acceso de/a
Internet) y otro en la red interna que sólo tenía acceso desde la red
interna y el servidor externo.
En ambos hay que instalar el Proxy de Zimbra (utiliza NginX, muy
recomendable), y en el interno el Zimbra Logger, y provisionar las
cuentas en el interno. En cuanto al antispam y el antivirus, salvo que
uses distintas soluciones, conviene habilitarlos sólo en uno de ellos
(yo te recomendaría el externo para facilitar las actualizaciones) ya
que si no ralentizarían el envío de correo al comprobar cada mensaje
dos veces.
Hecho esto, configuraría el interno como LMTP para que enrute el
correo interno, y al externo apuntaría el registro MX del dominio. Por
último, hay que configurar la dirección del externo como pasarela de
correo del interno, hacer que el externo enrute todos los mensajes a
cuentas de tu dominio al Zimbra interno, y configurar todas las reglas
necesarias en NAT o IPTables.
Lo bueno de usar el Proxy de Zimbra es que podrías acceder a las
cuentas del Zimbra de la LAN desde Internet de forma segura y a través
de la GUI (NginX es un proxy web).
Busca información sobre "split domain" en los foros y el wiki de
Zimbra, quizá te ayude. También hacen referencia en la Guía de
Administrador (disponible en formato PDF en la web de Zimbra).
"DMZ" (no estaba realmente en una DMZ, pero sí tenía acceso de/a
Internet) y otro en la red interna que sólo tenía acceso desde la red
interna y el servidor externo.
En ambos hay que instalar el Proxy de Zimbra (utiliza NginX, muy
recomendable), y en el interno el Zimbra Logger, y provisionar las
cuentas en el interno. En cuanto al antispam y el antivirus, salvo que
uses distintas soluciones, conviene habilitarlos sólo en uno de ellos
(yo te recomendaría el externo para facilitar las actualizaciones) ya
que si no ralentizarían el envío de correo al comprobar cada mensaje
dos veces.
Hecho esto, configuraría el interno como LMTP para que enrute el
correo interno, y al externo apuntaría el registro MX del dominio. Por
último, hay que configurar la dirección del externo como pasarela de
correo del interno, hacer que el externo enrute todos los mensajes a
cuentas de tu dominio al Zimbra interno, y configurar todas las reglas
necesarias en NAT o IPTables.
Lo bueno de usar el Proxy de Zimbra es que podrías acceder a las
cuentas del Zimbra de la LAN desde Internet de forma segura y a través
de la GUI (NginX es un proxy web).
Busca información sobre "split domain" en los foros y el wiki de
Zimbra, quizá te ayude. También hacen referencia en la Guía de
Administrador (disponible en formato PDF en la web de Zimbra).
jfvera
Jan 27, 2009, 5:01:53 AM1/27/09
to zimbra grupo
Hola de nuevo,
muchas gracias Fenix por la información y perdona el retraso de este
mensajillo (ayer lo escribí pero no se publicó, supongo que problema
de mi conexión que está ultimamente un poco chunga).
Voy a empezar a hacer pruebas fraccionando los servidores Zimbra tal
como me comentas a ver si consigo llegar a buen puerto. Voy a montar
con VMware una red lo más parecida posible a lo que va a ser en la
realidad y voy a empezar a hacer pruebas. Ya os iré contando.
Con respecto al NginX la verdad es que no había escuchado hablar de
él. He estado mirando y la verdad es que parece ser que está pegando
fuerte, por lo menos por lo que he visto en Google. He empezado a
hacer pruebas usando Apache como proxy inverso. Ha funcionado bien y
ahora quiero meterlo en la DMZ del VMWare a ver como se comporta. De
todas forma tengo también pensado hacer pruebas con el Zimbra-proxy y
el Nginx y el que mas me convenza pues ese se queda.
En cuanto tenga finiquitado lo del tema del Front-end empezará a hacer
pruebas respecto al relay de correo.
Bueno nada más, os mantendré informados sobre el tema. Gracias de
nuevo y un saludo,
Juan F.
> > Nada más, un saludo.- Ocultar texto de la cita -
>
> - Mostrar texto de la cita -
muchas gracias Fenix por la información y perdona el retraso de este
mensajillo (ayer lo escribí pero no se publicó, supongo que problema
de mi conexión que está ultimamente un poco chunga).
Voy a empezar a hacer pruebas fraccionando los servidores Zimbra tal
como me comentas a ver si consigo llegar a buen puerto. Voy a montar
con VMware una red lo más parecida posible a lo que va a ser en la
realidad y voy a empezar a hacer pruebas. Ya os iré contando.
Con respecto al NginX la verdad es que no había escuchado hablar de
él. He estado mirando y la verdad es que parece ser que está pegando
fuerte, por lo menos por lo que he visto en Google. He empezado a
hacer pruebas usando Apache como proxy inverso. Ha funcionado bien y
ahora quiero meterlo en la DMZ del VMWare a ver como se comporta. De
todas forma tengo también pensado hacer pruebas con el Zimbra-proxy y
el Nginx y el que mas me convenza pues ese se queda.
En cuanto tenga finiquitado lo del tema del Front-end empezará a hacer
pruebas respecto al relay de correo.
Bueno nada más, os mantendré informados sobre el tema. Gracias de
nuevo y un saludo,
Juan F.
>
> - Mostrar texto de la cita -
cejodrake
Jan 27, 2009, 9:53:08 AM1/27/09
to zimbr...@googlegroups.com
si realizas el esquima lo debes de publicar para q todos lo podamos ver
saludos
--
nadie nace aprendido todo en esta vida se aprende
saludos
nadie nace aprendido todo en esta vida se aprende
Reply all
Reply to author
Forward
0 new messages