[Lugge] Re: ...............email gateway

  • From: Rodolfo Carolei <rudy@xxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Tue, 29 Jul 2003 10:07:24 +0200

Mi fa piacere osservare che non avevo capito un cazzo.

Allora (correggimi se sbaglio):
L'utente  si connette alla Lan da remoto?
Dunque la rete o ha un ip fisso, oppure sfrutta un qualunque sistema per  
notificare il suo ip dinamico.
In un caso come nell'altro l'utente viene identificato dall'ip del suo provider 
e quando fa per connettersi al mail server (sul firewall) questo gli nega la 
connessione; ma da dove è entrato l'utente? Se è entrato significa che è 
autorizzato, dunque: aprire la 110 (del firewall) e il problema è risolto.

Y --come fa a leggerla, se 
fetchmail se l'è già scaricata e messa sul firewall ?

M apri la 110 all'esterno e all'interno del firewall:
l'utente è stato accettato dalla rete quindi si tratta solo di modificare le 
regole del firewall perchè accetti connessioni alla 110 sia dall'esterno che 
dall'interno.
Es. Io uso il nat e il mio rc.firewall conterrebbe più o meno:
"iptables -A PREROUTING -t nat -p tcp -i <dispositivo> --dport 110 -j DNAT -to  
 <ip del firewall>:110"
occhio che devi mettere 2 linee del genere (una per ogni dispositivo interno ed 
esterno) per abilitare la connessione dall' interno della Lan e da internet e 
verificare che non ci siano conflitti con altre regole.
Se non hai ip fisso, però è tutto più complicato, ma se hai avuto accesso alla 
Lan, 99 su cento hai un ip fisso.

Y --Col netcat, sicuramente per mia ignoranza, non vedo come risolverei il 
problema..

M non è certo tua ignoranza, credo che in questo frangente non ti serva 
proprio. Comunque, volendo si può mettere netcat in ascolto su di un'altra 
porta creando una connessione fittizia (o uno script) in OutSuck ecc.. e 
specificando il numero della porta, dopodichè connettersi all' account vero 
sulla 110; nel frattempo netcat ha dato uno scrollone a fetchmail il quale è 
andato a fare il giro dei tuoi mail servers e ha consegnato tutto a procmail o 
simili; fattibile, ma macchinoso... se apri a tutti la 110 non ce n'è bisogno; 
tutto funzionerebbe come nella realtà. Ti consiglio di accettare la cortese 
offerta di Roberto che sarebbe disposto a scrivere un demone per la bisogna.

Y - fetchmail scarica la posta e la mette nella home dell'utente, sul 
firewall--
Se tu programmassi fetchmail per girare, che so, ogni cinque minuti, una volta 
connesso al pop 3 avresti immediatamente la tua posta pulita (antivirus) sia da 
Lan che dall'esterno, inoltre potresti personalizzare il fetching: utente Caio 
ogni 2 ore ecc.. Ma se facessi l'accrocchio col netcat, in caso di 
malfunzionamento, non avresti alcun controllo ed anche abilitando una qualche 
forma di logging, temo che dovresti leggere parecchia roba.
Comunque, se ci pensi bene avresti lo stesso risultato: la posta vecchia di 
cinque minuti prima, senza alcuno sforzo.

/*Ovviamente chiunque si occupasse di sicurezza si metterebbe a vomitare...*/

Penso che comunque tu debba:
* acquisire un IP fisso,
* installare pop3, fetchmail, procmail netcat, antivirus e mailserver sul 
firewall,
* modificare le regole del firewall.

Se non hai ip fisso gli utenti come fanno da casa a configurarsi OutSuck?
E soprattutto come accidenti fanno a connettersi alla Lan?
Dovrebbero ogni volta chiedere in azienda quale ip ha in quel momento, oppure 
l'azienda potrebbe usare un software che spara su un sito web esterno un file 
html contenente i dati della avvenuta connessione e gli utenti dopo averlo 
consultato dovrebbero ogni volta riconfigurarsi il client (ne conosco pochi che 
saprebbero farlo)... che palle!

Se il tuo cliente ha intenzione di comprarsi un watchcoso a maggior ragione può 
permettersi di modificare il contratto fastweb ed acquisire un ip fisso con 
quattro soldi... e i tuoi problemi sono finiti.

Puoi fargli risparmiare un sacco di denaro, ma l'esperienza mi ha insegnato che 
è meglio non dirlo.

Se poi, acquisendo la fiducia del cliente, riesci anche a convincerlo a 
disfarsi del server Windoze, ci metti un bel Linuz o Bzd con Zamba e ti sei 
assicurato una consulenza a tempo indeterminato.

Questa volta mi pare di avere afferrato il concetto, ma se così non fosse... 

Sono benaccette le critiche, ma gli insulti >/dev/null.

Buon lavoro.
'ponzi <parapaponzi@xxxxxxxxx>
========----------

 Prima di scrivere in m-list per favore leggi il regolamento
 http://www.lugge.net/soci/index.php?link=manifesto.htm#list

 Archivio delle e-mail postate in lista
 http://www.freelists.org/archives/lugge/

 Modifica dell'account su freelists
 http://www.freelists.org/cgi-bin/lsg2.cgi

----------=======
 Orari di apertura della sede e come arrivarci:
 http://www.lugge.net/soci/index.php?link=sede.htm




Other related posts: