<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<span style="font-family: helvetica,arial,sans-serif;">Ahoj,<br>
<br>
jen pro upřesnění pro nás pomalejší - bylo by možné nějak
rozvinout podrobněji co je za možnosti a jaké mají výhody a
nevýhody? <br>
<br>
Napíšu co napadá mě, ale moje znalosti jsou spíše základní.<br>
<br>
Jak udělat řešení pro své 3 VPSky abych v budoucnu spotřebovával
jen jednu IPv4:<br>
1. uspořit nějaké volné prostředky (kolik tak cca doporučujete?) <br>
2. založit si novou VPSku z uspořených prostředků aby to dělalo
IPv4 edge router (ER). <br>
3. dvě možnosti:<br>
a) pro každou službu na pokrytých serverech udělat proxy na ER<br>
+ mám každou službu pod kontrolou<br>
+ nemusím zprovoznit interní IPv4 adresy na všech pokrytých
serverech<br>
- každá služba se dělá jinak<br>
- problémy - potřeba různých rewrites, synchronizace SMTP
účtů, některé služby možná ani nejdou....<br>
b) pro každou službu na pokrytých serverech udělat DNAT na ER<br>
+ nemusím se hmoždit s nastavováním proxy služeb<br>
- musím zprovoznit interní IPv4<br>
- něco takto nejde ??? (např. neexistuje helper pro DNAT,
server posílá redirect na numerickou IPv6 adresu, ... whatever)<br>
<br>
<br>
Díky,<br>
Štěpán. <br>
<br>
</span>
<div class="moz-cite-prefix">Dne 05. 06. 20 v 13:02 Ondrej.Flidr
napsal(a):<br>
</div>
<blockquote type="cite"
cite="mid:EQB.79Xv.vpB55lKuBh.1UsYOh@seznam.cz">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div>Ahoj,</div>
<div>ja mam podobny reseni (nekolik desitek kontejneru a VMs
schovany za jednom IP na balanceru) a pro SMTP a IMAP tam
pouzivam obycejny DNAT v iptables.</div>
<div><br>
</div>
<div>-A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT
--to-destination interni_ip_postfixu<br>
-A PREROUTING -p tcp -d verejna_ip --dport 143 -j DNAT
--to-destination interni_ip_dovecotu<br>
</div>
<div><br>
</div>
<div>a funguje to krasne. Neresis zadny "proxy", vsechno je na
sitovy vrstve a o aplikacni cast se staras az tam, kde mas.
Jediny, co je potreba poladit, jsou zpetny routy na tech
kontejnerech, aby packet, co prijde skrz ten nat, sel ven zase
skrz proxy kontejner. To bud poresis tak, ze z nej udelas
default gateway pro vsechno, nebo pomoci routovacich tabulek a
mangle (packety co prijdou z proxy jdou ven zase pres proxy,
zbytek jde normalni defaultni routou):<br>
</div>
<div><br>
</div>
<div>do mangle tabulky iptables:</div>
<div>-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff
--ctmask 0xffffffff<br>
-A INPUT ! -s 10.1.1.5/32 -m state --state NEW -m mac
--mac-source 4A:58:4F:CC:32:74 -j MARK --set-xmark
0x2/0xffffffff<br>
-A INPUT ! -s 10.1.1.6/32 -m state --state NEW -m mac
--mac-source 0E:F9:C3:60:6B:BF -j MARK --set-xmark
0x2/0xffffffff<br>
-A INPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask
0xffffffff<br>
-A INPUT -m state --state RELATED,ESTABLISHED -j CONNMARK
--restore-mark --nfmask 0xffffffff --ctmask 0xffffffff<br>
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff
--ctmask 0xffffffff<br>
</div>
<div><br>
</div>
<div>a do interfaces:</div>
<div>auto eth0<br>
iface eth0 inet static<br>
address 10.1.1.31<br>
netmask 255.255.255.0<br>
gateway 10.1.1.3<br>
up ip route add default via 10.1.1.7 table route_services<br>
up ip rule add fwmark 0x2 lookup route_services<br>
</div>
<div><br>
</div>
<div>Ondra Flidr<br>
</div>
<div><br>
</div>
<aside>
---------- Původní e-mail ----------<br>
Od: Jan B. Kolář <a class="moz-txt-link-rfc2396E" href="mailto:janbivoj.kolar@zazen-nudu.cz"><janbivoj.kolar@zazen-nudu.cz></a><br>
Komu: vpsFree.cz Community list
<a class="moz-txt-link-rfc2396E" href="mailto:community-list@lists.vpsfree.cz"><community-list@lists.vpsfree.cz></a><br>
Datum: 5. 6. 2020 12:41:49<br>
Předmět: [vpsFree.cz: community-list] Proxy pro mailserver
</aside>
<br>
<blockquote data-email="janbivoj.kolar@zazen-nudu.cz">Ahoj
všichni,<br>
<br>
včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem
jsem to <br>
poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a
nabídku <br>
dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem
se, že <br>
raději přenos serveru z playgroundu o týden odložím a zkusím to
rovnou <br>
udělat "načisto" s využitím proxy.<br>
<br>
Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver
(klasika <br>
Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend
nastudovat <br>
a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě
mám teď <br>
jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx,
MariaDB, <br>
Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s
Debian <br>
10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl
bych z <br>
"hostingového" VPS přesunout mailové služby na ten nový a mít
tak dva <br>
stroje, jeden na mail a jeden na web.<br>
<br>
Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro
ten <br>
mailserver nebo to obrátit a udělat mailserver s IP4 a přidat
tam proxy <br>
pro webové služby?<br>
<br>
Co byste případně použili jako proxy software před ten mail
server? Já <br>
se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo
mi <br>
úplně jasné použití "http auth". Jestli jsem to pochopil
správně, musel <br>
bych mít databázi uživatelů na tom proxy, což mi přišlo
nešikovné. Ten <br>
přesun jsem plánoval hlavně kvůli tomu, abych si ty služby
oddělil a měl <br>
v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom
stroji.<br>
<br>
Všechny zdraví<br>
<br>
Honza<br>
<br>
-- <br>
Jan B. Kolář<br>
<br>
Zažeň nudu<br>
Hodolanská 17, 779 00 Olomouc<br>
tel: +420 605 800 859<br>
e-mail: <a class="moz-txt-link-abbreviated" href="mailto:janbivoj.kolar@zazen-nudu.cz">janbivoj.kolar@zazen-nudu.cz</a><br>
<a class="moz-txt-link-abbreviated" href="http://www.zazen-nudu.cz">www.zazen-nudu.cz</a><br>
<br>
_______________________________________________<br>
Community-list mailing list<br>
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
Community-list mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a>
</pre>
</blockquote>
<br>
</body>
</html>