[Résolu] Schéma Reverse Proxy et Webmail

[Kane]

salut à tous,

je cherche à monter un serveur apache pour mon webmail mais à part du serveur SMTP lui meme, sachant que j'aimerais mettre ce webmail derriere un reverse proxy (étant limité en nombre de machines, le serveur webmail hébergera aussi un site), alors j'ai pensé au schéma suivant :

Code: Tout sélectionner

NET---IPCOP-(dmz)-(switch)-REVERSE PROXY(apache)---WEBMAIL+WWW(apache...)
        |             |
      (lan)            ------SMTP (postfix)


L'idée est donc de mettre 2 cartes réseaux sur le reverse proxy et de s'en servir un peu comme un pont...
Le serveur webmail aura Apache et squirrelmail (par exemple), le serveur de messagerie est sous Postfix avec courier-pop (pour la messagerie locale), courier-imap-ssl (pour l'accès web).

Est-ce correct ? Comment le webmail va t il pouvoir "discuter" avec le serveur de messagerie ? Et au niveau de l'adressage IP ?

PS : c'est un réseau perso, donc le serveur de messagerie est directement dans la DMZ, pas assez de machines pour ajouter un relais...
J'ai trouvé plein de tutos et howtos pour l'installation d'un reverse proxy et d'un webmail mais à chaque fois le webmail est sur le serveur postfix...

Merci d'avance

edit : résolu, enfin j'ai la réponse quoi

[Franck78]

Salut,

Toute machine 'IP' est normalement aussi un routeur. A partir du moment ou tu définis correctement l'adressage réseau et que tu disposes d'un moyen de découverte des dit-réseaux (routage statique, RIP, osfp,...) il n'y a pas de problème.

Mais je pense que tu te casses la tête pour rien. Branche ton apache/webmail sur le switch de la DMZ.

On a tendance à représenter les 'proxies' comme une machine recevant d'un coté et recrachant de l'autre. Ca marche très bien aussi avec une seule interface recevant et envoyant le protocole 'proxié'.

[Kane]

Merci Franck, j'aime bien ce genre de réponse

Disons que, dans ma tête, le fait d'avoir une machine qui écoute les ports 80 et 443 (autre que le reverse proxy hein) me laissait penser à une "faille" de sécurité.
A ce propos justement, et pour satisfaire ma parano légendaire, il est possible de dire à mon webmail/apache de n'accepter que les données venant du reverse proxy ? A moins que ce ne soit complètement inutile, j'avoue avoir du mal à imaginer un autre schéma...

[Franck78]

Tu peux très bien limiter avec IPTABLES les fonctions de routage de chaque machine. Tu le transformes en firewall. Pas de problème.
Ton histoire de ports 80/445 ouvert n'est pas claire. Même planqué derrière 50 firewall, si tu veux le service accessible depuis internet, faut bien qu'il soit ouvert (et atteigne le serveur).

Alors si le reverse proxy se contente de 'laisser passer' sans un controle valable, il ne sert pas à grand chose excepté te perfectionner en routage

[Kane]

lol oui mais ce serait pas un mal

Enfin bref, ta technique est plus simple et certainement la plus efficace dans mon cas.

Merci pour les infos