Есть еще взлом "специальным" контентом, схема с прокси весьма распространенная
Это конечно не направленный взлом, но случается... Впрочем и юзвери от этого так же не защищены, даже за прокси

PS поэтому я изначально говорил что не вижу смысла в применении классической схемы DMZ. Видел где DMZ применяют не традиционно, но это все индивидуальные подходы.

ребят, есть ли смысл дополнительного провайдера втыкать в фаервол? имеется ввиду дополнительный провайдер протягивался специально для почтового сервера. или лучше просто сразу в почтовый сервер воткнуть? я так понимаю если это всё дело через фаер пропускать все равно толку не много будет, так как почтовик в дмз, только больше гемору с правилами или все таки стоит заморочится? а на почтовик допустим програмный фаер поставить?

У вас так много почты что для него требуется выделенный канал?? О_о
Провайдера можно конечно сразу в почтовик, вопрос как из локалки будете забирать почту?
И смысл ставить программный фаервол если есть аппаратный...

Смысл подключать второго провайдера через DFL есть - во-первых, вы прикрываете почтовик от нежелательного внешнего трафика, во-вторых, сможете использовать этот второй канал как резерв первому для хождения в интернет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Наверно всё таки так и сделаю!) тогда какие мне правила могут понадобится для почтового сервера? может есть мануал готовый какие службы и как прокидывать для почтовика?

Просто по первому каналу люди работают и отрубать его вообще не вариант пока) поэтому прокинули ещё один со статическим адресом, специально под почтовик!
Вот думаю почтовик все таки в дмз воткнуть, чтобы из локалки можно было напрямую за почтой ходить, я так понимаю это надо будет правила прописать: из лан в дмз pop и smtp разрешить?

Да, и чтобы почта приходила/уходила извне, тоже самое для wan-dmz


поэтому админы работают ночью )

Для доступа из LAN в DMZ до почтовика нужны правила вида Allow lan/lannet dmz/dmz_mailserver_ip для сервисов smtp, pop3, imap (если у вас используется). Рекомендую сделать группу сервисов и использовать ее.

Для публикации почтового сервера с wan2 (при основном маршруте на wan1) надо будет сделать
1) Routing > Routing tables
Добавьте таблицу alt_wan2
Добавьте в нее маршрут wan2 all-nets wan2_gw 100
2) Routing > Routing rules
wan2/all-nets any/all-nets, forward main, return alt_wan2
3) Rules > IP rules
SAT wan2/all-nets core/wan2_ip smtp, SAT: new dest = dmz_mailserver_ip
Allow wan2/all-nets core/wan2_ip smtp
Если извне нужны и другие сервисы (типа pop3 или imap), то сделайте группу сервисов и используйте ее

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за мануал!) а зачем нам таблицу маршрутизации alt_wan2 добавлять?

Вот такие правила получились, норм?) все службы что мне нужны объединил в группы!

только затупил, последнее правило Мэйл называется а не http))

Таблицу добавлять чтобы был альтернативный дефолтный роут

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

можно ещё небольшой вопросик? нужно какие либо правила прописывать из дмз в ван для почтовика?

Я обычно так делаю

Objects > Address book > InterfaceAddresses
wans_ip = wan1_ip + wan2_ip

Intrefaces > Interface groups
wans = wan1 + wan2

Rules > IP rules
SAT wans/all-nets core/wans_ip yourservice, SAT: new dest = privatehost_ip, All-to-One Mapping: rewrite all destination IPs to a single IP = yes
Allow wans/all-nets core/wans_ip yourservice

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

т.е. мы объединяем все ваны, и пишем для них общее правило SAT, чтобы из вне прокидывал службы на почтовик?

мне нужно чтобы в dmz(а именно на почтовик) шел трафик с wan2,
а в lan шел трафик с wan1
это как я понимаю нужно править таблицу маршрутизации? или я неправильно понимаю?)
подскажите пжлста) сам прочитал главу Маршрутизация, мануала, но пока общего понимания не получил))