[vpsFree.cz: community-list] Proxy pro mailserver

Stepan Liska stepan at comlinks.cz
Mon Jun 8 11:31:20 CEST 2020 

Ahoj,

jen pro upřesnění pro nás pomalejší - bylo by možné nějak rozvinout
podrobněji co je za možnosti a jaké mají výhody a nevýhody?

Napíšu co napadá mě, ale moje znalosti jsou spíše základní.

Jak udělat řešení pro své 3 VPSky abych v budoucnu spotřebovával jen
jednu IPv4:
1. uspořit nějaké volné prostředky (kolik tak cca doporučujete?)
2. založit si novou VPSku z uspořených prostředků aby to dělalo IPv4
edge router (ER).
3. dvě možnosti:
  a) pro každou službu na pokrytých serverech udělat proxy na ER
    + mám každou službu pod kontrolou
    + nemusím zprovoznit interní IPv4 adresy na všech pokrytých serverech
    - každá služba se dělá jinak
    - problémy - potřeba různých rewrites, synchronizace SMTP účtů,
některé služby možná ani nejdou....
  b) pro každou službu na pokrytých serverech udělat DNAT na ER
    +  nemusím se hmoždit s nastavováním proxy služeb
    - musím zprovoznit interní IPv4
    - něco takto nejde ??? (např. neexistuje helper pro DNAT, server
posílá redirect na numerickou IPv6 adresu, ... whatever)


Díky,
Štěpán.

 
Dne 05. 06. 20 v 13:02 Ondrej.Flidr napsal(a):
> Ahoj,
> ja mam podobny reseni (nekolik desitek kontejneru a VMs schovany za
> jednom IP na balanceru) a pro SMTP a IMAP tam pouzivam obycejny DNAT v
> iptables.
>
> -A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT --to-destination
> interni_ip_postfixu
> -A PREROUTING -p tcp -d verejna_ip --dport 143 -j DNAT
> --to-destination interni_ip_dovecotu
>
> a funguje to krasne. Neresis zadny "proxy", vsechno je na sitovy
> vrstve a o aplikacni cast se staras az tam, kde mas. Jediny, co je
> potreba poladit, jsou zpetny routy na tech kontejnerech, aby packet,
> co prijde skrz ten nat, sel ven zase skrz proxy kontejner. To bud
> poresis tak, ze z nej udelas default gateway pro vsechno, nebo pomoci
> routovacich tabulek a mangle (packety co prijdou z proxy jdou ven zase
> pres proxy, zbytek jde normalni defaultni routou):
>
> do mangle tabulky iptables:
> -A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask
> 0xffffffff
> -A INPUT ! -s 10.1.1.5/32 -m state --state NEW -m mac --mac-source
> 4A:58:4F:CC:32:74 -j MARK --set-xmark 0x2/0xffffffff
> -A INPUT ! -s 10.1.1.6/32 -m state --state NEW -m mac --mac-source
> 0E:F9:C3:60:6B:BF -j MARK --set-xmark 0x2/0xffffffff
> -A INPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
> -A INPUT -m state --state RELATED,ESTABLISHED -j CONNMARK
> --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
> -A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask
> 0xffffffff
>
> a do interfaces:
> auto eth0
> iface eth0 inet static
>     address 10.1.1.31
>     netmask 255.255.255.0
>     gateway 10.1.1.3
>     up ip route add default via 10.1.1.7 table route_services
>     up ip rule add fwmark 0x2 lookup route_services
>
> Ondra Flidr
>
> ---------- Původní e-mail ----------
> Od: Jan B. Kolář <janbivoj.kolar at zazen-nudu.cz>
> Komu: vpsFree.cz Community list <community-list at lists.vpsfree.cz>
> Datum: 5. 6. 2020 12:41:49
> Předmět: [vpsFree.cz: community-list] Proxy pro mailserver
>
>
>     Ahoj všichni,
>
>     včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem
>     jsem to
>     poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a
>     nabídku
>     dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že
>     raději přenos serveru z playgroundu o týden odložím a zkusím to
>     rovnou
>     udělat "načisto" s využitím proxy.
>
>     Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika
>     Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend
>     nastudovat
>     a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě
>     mám teď
>     jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx,
>     MariaDB,
>     Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian
>     10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z
>     "hostingového" VPS přesunout mailové služby na ten nový a mít tak dva
>     stroje, jeden na mail a jeden na web.
>
>     Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten
>     mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam
>     proxy
>     pro webové služby?
>
>     Co byste případně použili jako proxy software před ten mail
>     server? Já
>     se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi
>     úplně jasné použití "http auth". Jestli jsem to pochopil správně,
>     musel
>     bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné.
>     Ten
>     přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil
>     a měl
>     v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom
>     stroji.
>
>     Všechny zdraví
>
>     Honza
>
>     -- 
>     Jan B. Kolář
>
>     Zažeň nudu
>     Hodolanská 17, 779 00 Olomouc
>     tel: +420 605 800 859
>     e-mail: janbivoj.kolar at zazen-nudu.cz
>     www.zazen-nudu.cz
>
>     _______________________________________________
>     Community-list mailing list
>     Community-list at lists.vpsfree.cz
>     http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20200608/0bbee680/attachment-0001.html>

More information about the Community-list mailing list