<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <span style="font-family: helvetica,arial,sans-serif;">Ahoj,<br>
      <br>
      jen pro upřesnění pro nás pomalejší - bylo by možné nějak
      rozvinout podrobněji co je za možnosti a jaké mají výhody a
      nevýhody? <br>
      <br>
      Napíšu co napadá mě, ale moje znalosti jsou spíše základní.<br>
      <br>
      Jak udělat řešení pro své 3 VPSky abych v budoucnu spotřebovával
      jen jednu IPv4:<br>
      1. uspořit nějaké volné prostředky (kolik tak cca doporučujete?) <br>
      2. založit si novou VPSku z uspořených prostředků aby to dělalo
      IPv4 edge router (ER). <br>
      3. dvě možnosti:<br>
        a) pro každou službu na pokrytých serverech udělat proxy na ER<br>
          + mám každou službu pod kontrolou<br>
          + nemusím zprovoznit interní IPv4 adresy na všech pokrytých
      serverech<br>
          - každá služba se dělá jinak<br>
          - problémy - potřeba různých rewrites, synchronizace SMTP
      účtů, některé služby možná ani nejdou....<br>
        b) pro každou službu na pokrytých serverech udělat DNAT na ER<br>
          +  nemusím se hmoždit s nastavováním proxy služeb<br>
          - musím zprovoznit interní IPv4<br>
          - něco takto nejde ??? (např. neexistuje helper pro DNAT,
      server posílá redirect na numerickou IPv6 adresu, ... whatever)<br>
      <br>
      <br>
      Díky,<br>
      Štěpán. <br>
      <br>
       
    </span>
    <div class="moz-cite-prefix">Dne 05. 06. 20 v 13:02 Ondrej.Flidr
      napsal(a):<br>
    </div>
    <blockquote type="cite"
      cite="mid:EQB.79Xv.vpB55lKuBh.1UsYOh@seznam.cz">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div>Ahoj,</div>
      <div>ja mam podobny reseni (nekolik desitek kontejneru a VMs
        schovany za jednom IP na balanceru) a pro SMTP a IMAP tam
        pouzivam obycejny DNAT v iptables.</div>
      <div><br>
      </div>
      <div>-A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT
        --to-destination interni_ip_postfixu<br>
        -A PREROUTING -p tcp -d verejna_ip --dport 143 -j DNAT
        --to-destination interni_ip_dovecotu<br>
      </div>
      <div><br>
      </div>
      <div>a funguje to krasne. Neresis zadny "proxy", vsechno je na
        sitovy vrstve a o aplikacni cast se staras az tam, kde mas.
        Jediny, co je potreba poladit, jsou zpetny routy na tech
        kontejnerech, aby packet, co prijde skrz ten nat, sel ven zase
        skrz proxy kontejner. To bud poresis tak, ze z nej udelas
        default gateway pro vsechno, nebo pomoci routovacich tabulek a
        mangle (packety co prijdou z proxy jdou ven zase pres proxy,
        zbytek jde normalni defaultni routou):<br>
      </div>
      <div><br>
      </div>
      <div>do mangle tabulky iptables:</div>
      <div>-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff
        --ctmask 0xffffffff<br>
        -A INPUT ! -s 10.1.1.5/32 -m state --state NEW -m mac
        --mac-source 4A:58:4F:CC:32:74 -j MARK --set-xmark
        0x2/0xffffffff<br>
        -A INPUT ! -s 10.1.1.6/32 -m state --state NEW -m mac
        --mac-source 0E:F9:C3:60:6B:BF -j MARK --set-xmark
        0x2/0xffffffff<br>
        -A INPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask
        0xffffffff<br>
        -A INPUT -m state --state RELATED,ESTABLISHED -j CONNMARK
        --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff<br>
        -A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff
        --ctmask 0xffffffff<br>
      </div>
      <div><br>
      </div>
      <div>a do interfaces:</div>
      <div>auto eth0<br>
        iface eth0 inet static<br>
            address 10.1.1.31<br>
            netmask 255.255.255.0<br>
            gateway 10.1.1.3<br>
            up ip route add default via 10.1.1.7 table route_services<br>
            up ip rule add fwmark 0x2 lookup route_services<br>
      </div>
      <div><br>
      </div>
      <div>Ondra Flidr<br>
      </div>
      <div><br>
      </div>
      <aside>
        ---------- Původní e-mail ----------<br>
        Od: Jan B. Kolář <a class="moz-txt-link-rfc2396E" href="mailto:janbivoj.kolar@zazen-nudu.cz"><janbivoj.kolar@zazen-nudu.cz></a><br>
        Komu: vpsFree.cz Community list
        <a class="moz-txt-link-rfc2396E" href="mailto:community-list@lists.vpsfree.cz"><community-list@lists.vpsfree.cz></a><br>
        Datum: 5. 6. 2020 12:41:49<br>
        Předmět: [vpsFree.cz: community-list] Proxy pro mailserver
      </aside>
      <br>
      <blockquote data-email="janbivoj.kolar@zazen-nudu.cz">Ahoj
        všichni,<br>
        <br>
        včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem
        jsem to <br>
        poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a
        nabídku <br>
        dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem
        se, že <br>
        raději přenos serveru z playgroundu o týden odložím a zkusím to
        rovnou <br>
        udělat "načisto" s využitím proxy.<br>
        <br>
        Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver
        (klasika <br>
        Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend
        nastudovat <br>
        a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě
        mám teď <br>
        jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx,
        MariaDB, <br>
        Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s
        Debian <br>
        10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl
        bych z <br>
        "hostingového" VPS přesunout mailové služby na ten nový a mít
        tak dva <br>
        stroje, jeden na mail a jeden na web.<br>
        <br>
        Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro
        ten <br>
        mailserver nebo to obrátit a udělat mailserver s IP4 a přidat
        tam proxy <br>
        pro webové služby?<br>
        <br>
        Co byste případně použili jako proxy software před ten mail
        server? Já <br>
        se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo
        mi <br>
        úplně jasné použití "http auth". Jestli jsem to pochopil
        správně, musel <br>
        bych mít databázi uživatelů na tom proxy, což mi přišlo
        nešikovné. Ten <br>
        přesun jsem plánoval hlavně kvůli tomu, abych si ty služby
        oddělil a měl <br>
        v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom
        stroji.<br>
        <br>
        Všechny zdraví<br>
        <br>
        Honza<br>
        <br>
        -- <br>
        Jan B. Kolář<br>
        <br>
        Zažeň nudu<br>
        Hodolanská 17, 779 00 Olomouc<br>
        tel: +420 605 800 859<br>
        e-mail: <a class="moz-txt-link-abbreviated" href="mailto:janbivoj.kolar@zazen-nudu.cz">janbivoj.kolar@zazen-nudu.cz</a><br>
        <a class="moz-txt-link-abbreviated" href="http://www.zazen-nudu.cz">www.zazen-nudu.cz</a><br>
        <br>
        _______________________________________________<br>
        Community-list mailing list<br>
        <a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
        <a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br>
      </blockquote>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
Community-list mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>