Денис Букреев: прочитал внимательнее. Роботы не знают про папку www, но знают про домены, с которыми связаны ее подпапки. Хотите запретить индексирование code.domain.com, кладите в него robots.txt с Disallow: / и т.д.
Иван: не понял. Вы делаете две зоны: clients.company.com (192.168.0.) и servers.company.com (10.0.0.0). Например, server1 с двумя интерфейсами будет иметь имена server1.clients.company.com в первой сети и server1.servers.company.com - во второй. Дальше никакой путаницы.
Иван: Вы в вопросе написали, что два интерфейса у DNS-сервера, а не у всех серверов. Потом написали, что трафик одной подсети может гулять в другой. Поэтому я сказал про роутеры и свичи.
Иван: для этого нужно использовать отдельные зоны DNS для подсетей. Даже если имена серверов в обеих зонах будут совпадать, по суффиксам DNS будут выбираться правильные IP-адреса.
Иван: Не надо в целом. По Вашей задаче им нужен доступ к 53 порту UDP DNS-сервера, и к 80 порту TCP HTTP Веб-сервера. Больше они не смогут ничего сделать. Мне кажется, Вы путаете роутер и свич.
Иван: Естественно, серверы будут в своей сети, клиенты в своей. В файрволе роутера Вы разрешите клиентам доступ только к нужным (на Ваш взгляд) службам серверов.
Пишете:
smtpd_tls_key_file = /etc/postfix/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/smtpd.pem
И забываете на время действия сертификата (я обычно ставлю 3650 дней, перегенерировать раньше никто не запрещает).
Подскажу. Pem позволяет хранить и сертификат и ключ в одном файле, поэтому хватит. Можно как у Вас в виде двух файлов openssl req -new -x509 -out smtpd.crt -keyout smtpd.key -days 3650
Lindon_cano: безопасность по крону? Простите, я против (субъективно). А по поводу доверия, если я сам сгенерировал и установил сертификат, чем он хуже бесплатного сгенерированного кем-то еще? Кроме этого, какой размер ключа у этих бесплатных сертификатов, обновляемых по крону?
P.S.: я не против Let's Encrypt и StartCom, но автор просил самоподписной.
