Ahoj,
jen pro upřesnění pro nás pomalejší - bylo by možné nějak rozvinout
podrobněji co je za možnosti a jaké mají výhody a nevýhody?
Napíšu co napadá mě, ale moje znalosti jsou spíše základní.
Jak udělat řešení pro své 3 VPSky abych v budoucnu spotřebovával jen
jednu IPv4:
1. uspořit nějaké volné prostředky (kolik tak cca doporučujete?)
2. založit si novou VPSku z uspořených prostředků aby to dělalo IPv4
edge router (ER).
3. dvě možnosti:
a) pro každou službu na pokrytých serverech udělat proxy na ER
+ mám každou službu pod kontrolou
+ nemusím zprovoznit interní IPv4 adresy na všech pokrytých serverech
- každá služba se dělá jinak
- problémy - potřeba různých rewrites, synchronizace SMTP účtů,
některé služby možná ani nejdou....
b) pro každou službu na pokrytých serverech udělat DNAT na ER
+ nemusím se hmoždit s nastavováním proxy služeb
- musím zprovoznit interní IPv4
- něco takto nejde ??? (např. neexistuje helper pro DNAT, server
posílá redirect na numerickou IPv6 adresu, ... whatever)
Díky,
Štěpán.
Dne 05. 06. 20 v 13:02 Ondrej.Flidr napsal(a):
Ahoj,
ja mam podobny reseni (nekolik desitek kontejneru a VMs schovany za
jednom IP na balanceru) a pro SMTP a IMAP tam pouzivam obycejny DNAT v
iptables.
-A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT --to-destination
interni_ip_postfixu
-A PREROUTING -p tcp -d verejna_ip --dport 143 -j DNAT
--to-destination interni_ip_dovecotu
a funguje to krasne. Neresis zadny "proxy", vsechno je na sitovy
vrstve a o aplikacni cast se staras az tam, kde mas. Jediny, co je
potreba poladit, jsou zpetny routy na tech kontejnerech, aby packet,
co prijde skrz ten nat, sel ven zase skrz proxy kontejner. To bud
poresis tak, ze z nej udelas default gateway pro vsechno, nebo pomoci
routovacich tabulek a mangle (packety co prijdou z proxy jdou ven zase
pres proxy, zbytek jde normalni defaultni routou):
do mangle tabulky iptables:
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask
0xffffffff
-A INPUT ! -s 10.1.1.5/32 -m state --state NEW -m mac --mac-source
4A:58:4F:CC:32:74 -j MARK --set-xmark 0x2/0xffffffff
-A INPUT ! -s 10.1.1.6/32 -m state --state NEW -m mac --mac-source
0E:F9:C3:60:6B:BF -j MARK --set-xmark 0x2/0xffffffff
-A INPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A INPUT -m state --state RELATED,ESTABLISHED -j CONNMARK
--restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask
0xffffffff
a do interfaces:
auto eth0
iface eth0 inet static
address 10.1.1.31
netmask 255.255.255.0
gateway 10.1.1.3
up ip route add default via 10.1.1.7 table route_services
up ip rule add fwmark 0x2 lookup route_services
Ondra Flidr
---------- Původní e-mail ----------
Od: Jan B. Kolář <janbivoj.kolar(a)zazen-nudu.cz>
Komu: vpsFree.cz Community list <community-list(a)lists.vpsfree.cz>
Datum: 5. 6. 2020 12:41:49
Předmět: [vpsFree.cz: community-list] Proxy pro mailserver
Ahoj všichni,
včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem
jsem to
poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a
nabídku
dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že
raději přenos serveru z playgroundu o týden odložím a zkusím to
rovnou
udělat "načisto" s využitím proxy.
Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika
Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend
nastudovat
a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě
mám teď
jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx,
MariaDB,
Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian
10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z
"hostingového" VPS přesunout mailové služby na ten nový a mít tak dva
stroje, jeden na mail a jeden na web.
Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten
mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam
proxy
pro webové služby?
Co byste případně použili jako proxy software před ten mail
server? Já
se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi
úplně jasné použití "http auth". Jestli jsem to pochopil správně,
musel
bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné.
Ten
přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil
a měl
v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom
stroji.
Všechny zdraví
Honza
--
Jan B. Kolář
Zažeň nudu
Hodolanská 17, 779 00 Olomouc
tel: +420 605 800 859
e-mail: janbivoj.kolar(a)zazen-nudu.cz
www.zazen-nudu.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list