[vpsFree.cz: community-list] Proxy pro mailserver

Fri Jun 5 13:02:03 CEST 2020

Ahoj,

ja mam podobny reseni (nekolik desitek kontejneru a VMs schovany za jednom 
IP na balanceru) a pro SMTP a IMAP tam pouzivam obycejny DNAT v iptables.

-A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT --to-destination 
interni_ip_postfixu
-A PREROUTING -p tcp -d verejna_ip --dport 143 -j DNAT --to-destination 
interni_ip_dovecotu

a funguje to krasne. Neresis zadny "proxy", vsechno je na sitovy vrstve a o 
aplikacni cast se staras az tam, kde mas. Jediny, co je potreba poladit, 
jsou zpetny routy na tech kontejnerech, aby packet, co prijde skrz ten nat, 
sel ven zase skrz proxy kontejner. To bud poresis tak, ze z nej udelas 
default gateway pro vsechno, nebo pomoci routovacich tabulek a mangle 
(packety co prijdou z proxy jdou ven zase pres proxy, zbytek jde normalni 
defaultni routou):

do mangle tabulky iptables:

-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0
xffffffff
-A INPUT ! -s 10.1.1.5/32 -m state --state NEW -m mac --mac-source 4A:58:4F:
CC:32:74 -j MARK --set-xmark 0x2/0xffffffff
-A INPUT ! -s 10.1.1.6/32 -m state --state NEW -m mac --mac-source 0E:F9:C3:
60:6B:BF -j MARK --set-xmark 0x2/0xffffffff
-A INPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A INPUT -m state --state RELATED,ESTABLISHED -j CONNMARK --restore-mark --
nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff

a do interfaces:

auto eth0
iface eth0 inet static
    address 10.1.1.31
    netmask 255.255.255.0
    gateway 10.1.1.3
    up ip route add default via 10.1.1.7 table route_services
    up ip rule add fwmark 0x2 lookup route_services

Ondra Flidr

---------- Původní e-mail ----------
Od: Jan B. Kolář <janbivoj.kolar at zazen-nudu.cz>
Komu: vpsFree.cz Community list <community-list at lists.vpsfree.cz>
Datum: 5. 6. 2020 12:41:49
Předmět: [vpsFree.cz: community-list] Proxy pro mailserver 
"Ahoj všichni,

včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem jsem to 
poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a nabídku 
dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že 
raději přenos serveru z playgroundu o týden odložím a zkusím to rovnou 
udělat "načisto" s využitím proxy.

Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika 
Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend nastudovat 
a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě mám teď 
jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx, MariaDB, 
Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian 
10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z 
"hostingového" VPS přesunout mailové služby na ten nový a mít tak dva 
stroje, jeden na mail a jeden na web.

Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten 
mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam proxy 
pro webové služby?

Co byste případně použili jako proxy software před ten mail server? Já 
se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi 
úplně jasné použití "http auth". Jestli jsem to pochopil správně, musel 
bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné. Ten 
přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil a měl 
v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom stroji.

Všechny zdraví

Honza

-- 
Jan B. Kolář

Zažeň nudu
Hodolanská 17, 779 00 Olomouc
tel: +420 605 800 859
e-mail: janbivoj.kolar at zazen-nudu.cz
www.zazen-nudu.cz

_______________________________________________
Community-list mailing list
Community-list at lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
"
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20200605/3c61e8a5/attachment.html>