Ahoj všichni,
včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem jsem to poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a nabídku dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že raději přenos serveru z playgroundu o týden odložím a zkusím to rovnou udělat "načisto" s využitím proxy.
Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend nastudovat a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě mám teď jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx, MariaDB, Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian 10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z "hostingového" VPS přesunout mailové služby na ten nový a mít tak dva stroje, jeden na mail a jeden na web.
Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam proxy pro webové služby?
Co byste případně použili jako proxy software před ten mail server? Já se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi úplně jasné použití "http auth". Jestli jsem to pochopil správně, musel bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné. Ten přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil a měl v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom stroji.
Všechny zdraví
Honza
ahoj,
June 5, 2020 12:41 PM, "Jan B. Kolář" janbivoj.kolar@zazen-nudu.cz wrote:
Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam proxy pro webové služby?
Osobně to u svých služeb vidim na přechod na striktní edge proxy, tj. proxovat úplně všechno a na edge stroji (strojích) nechat jen LB/Proxy. Ideálně v kombinaci se service discovery. Momentálně si hraju s Traefikem a vypadá to celkem použitelně.
SMTP a IMAP se dá řešit na L3, nicméně záleží, jak je ten mailserver vytíženej - možná by stálo za to zkusit tam na SMTP nastrčit nějakej postscreen.
-k.
-- Jakub Fišer Linux | DevOps | Security +420-603 797 487
S traefikem bacha, jednak umi byt obcas velmi nestabilni a druhak si neporadi v situaci, kdy chcete automatickou obnovu LE pro adresu, ktera ma IPv6 zaznam v DNS (nedojde k validaci). Nakonec jsme ho opustili a vratili se pro web k nginxu nebo haproxy.
Ondra Flidr
---------- Původní e-mail ---------- Od: Jakub Fišer kuba@ufiseru.cz Komu: vpsFree.cz Community list community-list@lists.vpsfree.cz Datum: 5. 6. 2020 13:04:12 Předmět: Re: [vpsFree.cz: community-list] Proxy pro mailserver "ahoj,
June 5, 2020 12:41 PM, "Jan B. Kolář" janbivoj.kolar@zazen-nudu.cz wrote:
Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam proxy pro webové služby?
Osobně to u svých služeb vidim na přechod na striktní edge proxy, tj. proxovat úplně všechno a na edge stroji (strojích) nechat jen LB/Proxy. Ideálně v kombinaci se service discovery. Momentálně si hraju s Traefikem a vypadá to celkem použitelně.
SMTP a IMAP se dá řešit na L3, nicméně záleží, jak je ten mailserver vytíženej - možná by stálo za to zkusit tam na SMTP nastrčit nějakej postscreen.
-k.
-- Jakub Fišer Linux | DevOps | Security +420-603 797 487 _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list "
Pro weby bych doporučil Nginx, mám zato, že to bude nejčastěji používaná reverzní proxy, co se webserverů týče, takže najdete spoustu návodů
Pro proxy na poštu použijte to, co vám řeší tu poštu - Postfix a Dovecot. Dovecot umí být proxy - uživatel se přihlásí k proxy, proxy vezme přihlašovací údaje a přihlásí se s nimi k cílovému serveru. A pak prostě přehazuje bajty zleva doprava a zprava doleva. Umí to IMAP i POP3
Co se příjmu pošty týče, stačí nasadit Postfix a říct mu, že má maily přeposílat na ten interní server
Ať už si vyberete cokoliv, budete mít práci se synchronizací nastavení:
Ve variantě proxy pro weby pokud máte na webserveru více webů, budete muset nastavit víc virtualhostů na té proxy - kvůli SSL certifikátům třeba, ty jsou pro každý web jiný. (Jestli na tom hlavním webserveru používáte Apache, tak si zapněte a nastavte mod_remoteip, aby aplikace viděly jako IP klienta jeho skutečnou IP, ne vaši interní adresu.)
Ve variantě proxy pro poštu se asi obejdete bez speciálního nastavení na straně toho Dovecotu, ale proxy Postfix NAPROSTO NEZBYTNĚ MUSÍ VĚDĚT, jaké schránky máte založené, protože když vám někdo bude posílat mail na schránku, která neexistuje, musí jej odmítnout už ta proxy. Jinak přes vás budou spamovat.
Z těch variant doporučuju spíš proxy pro weby, tam se toho dá zkazit míň a vcelku jasně to buď funguje, nebo nefunguje :-)
On 6/5/20 12:41 PM, Jan B. Kolář wrote:
Ahoj všichni,
včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem jsem to poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a nabídku dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že raději přenos serveru z playgroundu o týden odložím a zkusím to rovnou udělat "načisto" s využitím proxy.
Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend nastudovat a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě mám teď jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx, MariaDB, Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian 10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z "hostingového" VPS přesunout mailové služby na ten nový a mít tak dva stroje, jeden na mail a jeden na web.
Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam proxy pro webové služby?
Co byste případně použili jako proxy software před ten mail server? Já se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi úplně jasné použití "http auth". Jestli jsem to pochopil správně, musel bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné. Ten přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil a měl v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom stroji.
Všechny zdraví
Honza
Ahoj,
ja mam podobny reseni (nekolik desitek kontejneru a VMs schovany za jednom IP na balanceru) a pro SMTP a IMAP tam pouzivam obycejny DNAT v iptables.
-A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT --to-destination interni_ip_postfixu -A PREROUTING -p tcp -d verejna_ip --dport 143 -j DNAT --to-destination interni_ip_dovecotu
a funguje to krasne. Neresis zadny "proxy", vsechno je na sitovy vrstve a o aplikacni cast se staras az tam, kde mas. Jediny, co je potreba poladit, jsou zpetny routy na tech kontejnerech, aby packet, co prijde skrz ten nat, sel ven zase skrz proxy kontejner. To bud poresis tak, ze z nej udelas default gateway pro vsechno, nebo pomoci routovacich tabulek a mangle (packety co prijdou z proxy jdou ven zase pres proxy, zbytek jde normalni defaultni routou):
do mangle tabulky iptables:
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0 xffffffff -A INPUT ! -s 10.1.1.5/32 -m state --state NEW -m mac --mac-source 4A:58:4F: CC:32:74 -j MARK --set-xmark 0x2/0xffffffff -A INPUT ! -s 10.1.1.6/32 -m state --state NEW -m mac --mac-source 0E:F9:C3: 60:6B:BF -j MARK --set-xmark 0x2/0xffffffff -A INPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff -A INPUT -m state --state RELATED,ESTABLISHED -j CONNMARK --restore-mark -- nfmask 0xffffffff --ctmask 0xffffffff -A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
a do interfaces:
auto eth0 iface eth0 inet static address 10.1.1.31 netmask 255.255.255.0 gateway 10.1.1.3 up ip route add default via 10.1.1.7 table route_services up ip rule add fwmark 0x2 lookup route_services
Ondra Flidr
---------- Původní e-mail ---------- Od: Jan B. Kolář janbivoj.kolar@zazen-nudu.cz Komu: vpsFree.cz Community list community-list@lists.vpsfree.cz Datum: 5. 6. 2020 12:41:49 Předmět: [vpsFree.cz: community-list] Proxy pro mailserver "Ahoj všichni,
včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem jsem to poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a nabídku dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že raději přenos serveru z playgroundu o týden odložím a zkusím to rovnou udělat "načisto" s využitím proxy.
Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend nastudovat a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě mám teď jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx, MariaDB, Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian 10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z "hostingového" VPS přesunout mailové služby na ten nový a mít tak dva stroje, jeden na mail a jeden na web.
Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam proxy pro webové služby?
Co byste případně použili jako proxy software před ten mail server? Já se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi úplně jasné použití "http auth". Jestli jsem to pochopil správně, musel bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné. Ten přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil a měl v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom stroji.
Všechny zdraví
Honza
Ahoj,
jen pro upřesnění pro nás pomalejší - bylo by možné nějak rozvinout podrobněji co je za možnosti a jaké mají výhody a nevýhody?
Napíšu co napadá mě, ale moje znalosti jsou spíše základní.
Jak udělat řešení pro své 3 VPSky abych v budoucnu spotřebovával jen jednu IPv4: 1. uspořit nějaké volné prostředky (kolik tak cca doporučujete?) 2. založit si novou VPSku z uspořených prostředků aby to dělalo IPv4 edge router (ER). 3. dvě možnosti: a) pro každou službu na pokrytých serverech udělat proxy na ER + mám každou službu pod kontrolou + nemusím zprovoznit interní IPv4 adresy na všech pokrytých serverech - každá služba se dělá jinak - problémy - potřeba různých rewrites, synchronizace SMTP účtů, některé služby možná ani nejdou.... b) pro každou službu na pokrytých serverech udělat DNAT na ER + nemusím se hmoždit s nastavováním proxy služeb - musím zprovoznit interní IPv4 - něco takto nejde ??? (např. neexistuje helper pro DNAT, server posílá redirect na numerickou IPv6 adresu, ... whatever)
Díky, Štěpán.
Dne 05. 06. 20 v 13:02 Ondrej.Flidr napsal(a):
Ahoj, ja mam podobny reseni (nekolik desitek kontejneru a VMs schovany za jednom IP na balanceru) a pro SMTP a IMAP tam pouzivam obycejny DNAT v iptables.
-A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT --to-destination interni_ip_postfixu -A PREROUTING -p tcp -d verejna_ip --dport 143 -j DNAT --to-destination interni_ip_dovecotu
a funguje to krasne. Neresis zadny "proxy", vsechno je na sitovy vrstve a o aplikacni cast se staras az tam, kde mas. Jediny, co je potreba poladit, jsou zpetny routy na tech kontejnerech, aby packet, co prijde skrz ten nat, sel ven zase skrz proxy kontejner. To bud poresis tak, ze z nej udelas default gateway pro vsechno, nebo pomoci routovacich tabulek a mangle (packety co prijdou z proxy jdou ven zase pres proxy, zbytek jde normalni defaultni routou):
do mangle tabulky iptables: -A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff -A INPUT ! -s 10.1.1.5/32 -m state --state NEW -m mac --mac-source 4A:58:4F:CC:32:74 -j MARK --set-xmark 0x2/0xffffffff -A INPUT ! -s 10.1.1.6/32 -m state --state NEW -m mac --mac-source 0E:F9:C3:60:6B:BF -j MARK --set-xmark 0x2/0xffffffff -A INPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff -A INPUT -m state --state RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff -A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
a do interfaces: auto eth0 iface eth0 inet static address 10.1.1.31 netmask 255.255.255.0 gateway 10.1.1.3 up ip route add default via 10.1.1.7 table route_services up ip rule add fwmark 0x2 lookup route_services
Ondra Flidr
---------- Původní e-mail ---------- Od: Jan B. Kolář janbivoj.kolar@zazen-nudu.cz Komu: vpsFree.cz Community list community-list@lists.vpsfree.cz Datum: 5. 6. 2020 12:41:49 Předmět: [vpsFree.cz: community-list] Proxy pro mailserver
Ahoj všichni, včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem jsem to poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a nabídku dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že raději přenos serveru z playgroundu o týden odložím a zkusím to rovnou udělat "načisto" s využitím proxy. Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend nastudovat a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě mám teď jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx, MariaDB, Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian 10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z "hostingového" VPS přesunout mailové služby na ten nový a mít tak dva stroje, jeden na mail a jeden na web. Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam proxy pro webové služby? Co byste případně použili jako proxy software před ten mail server? Já se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi úplně jasné použití "http auth". Jestli jsem to pochopil správně, musel bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné. Ten přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil a měl v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom stroji. Všechny zdraví Honza -- Jan B. Kolář Zažeň nudu Hodolanská 17, 779 00 Olomouc tel: +420 605 800 859 e-mail: janbivoj.kolar@zazen-nudu.cz www.zazen-nudu.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Jakub Fišer -
Jan B. Kolář -
Jirka Bourek -
Ondrej.Flidr -
Stepan Liska