[vpsFree.cz: community-list] Proxy pro mailserver
Stepan Liska
stepan at comlinks.cz
Mon Jun 8 11:31:20 CEST 2020
Ahoj,
jen pro upřesnění pro nás pomalejší - bylo by možné nějak rozvinout
podrobněji co je za možnosti a jaké mají výhody a nevýhody?
Napíšu co napadá mě, ale moje znalosti jsou spíše základní.
Jak udělat řešení pro své 3 VPSky abych v budoucnu spotřebovával jen
jednu IPv4:
1. uspořit nějaké volné prostředky (kolik tak cca doporučujete?)
2. založit si novou VPSku z uspořených prostředků aby to dělalo IPv4
edge router (ER).
3. dvě možnosti:
a) pro každou službu na pokrytých serverech udělat proxy na ER
+ mám každou službu pod kontrolou
+ nemusím zprovoznit interní IPv4 adresy na všech pokrytých serverech
- každá služba se dělá jinak
- problémy - potřeba různých rewrites, synchronizace SMTP účtů,
některé služby možná ani nejdou....
b) pro každou službu na pokrytých serverech udělat DNAT na ER
+ nemusím se hmoždit s nastavováním proxy služeb
- musím zprovoznit interní IPv4
- něco takto nejde ??? (např. neexistuje helper pro DNAT, server
posílá redirect na numerickou IPv6 adresu, ... whatever)
Díky,
Štěpán.
Dne 05. 06. 20 v 13:02 Ondrej.Flidr napsal(a):
> Ahoj,
> ja mam podobny reseni (nekolik desitek kontejneru a VMs schovany za
> jednom IP na balanceru) a pro SMTP a IMAP tam pouzivam obycejny DNAT v
> iptables.
>
> -A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT --to-destination
> interni_ip_postfixu
> -A PREROUTING -p tcp -d verejna_ip --dport 143 -j DNAT
> --to-destination interni_ip_dovecotu
>
> a funguje to krasne. Neresis zadny "proxy", vsechno je na sitovy
> vrstve a o aplikacni cast se staras az tam, kde mas. Jediny, co je
> potreba poladit, jsou zpetny routy na tech kontejnerech, aby packet,
> co prijde skrz ten nat, sel ven zase skrz proxy kontejner. To bud
> poresis tak, ze z nej udelas default gateway pro vsechno, nebo pomoci
> routovacich tabulek a mangle (packety co prijdou z proxy jdou ven zase
> pres proxy, zbytek jde normalni defaultni routou):
>
> do mangle tabulky iptables:
> -A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask
> 0xffffffff
> -A INPUT ! -s 10.1.1.5/32 -m state --state NEW -m mac --mac-source
> 4A:58:4F:CC:32:74 -j MARK --set-xmark 0x2/0xffffffff
> -A INPUT ! -s 10.1.1.6/32 -m state --state NEW -m mac --mac-source
> 0E:F9:C3:60:6B:BF -j MARK --set-xmark 0x2/0xffffffff
> -A INPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
> -A INPUT -m state --state RELATED,ESTABLISHED -j CONNMARK
> --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
> -A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask
> 0xffffffff
>
> a do interfaces:
> auto eth0
> iface eth0 inet static
> address 10.1.1.31
> netmask 255.255.255.0
> gateway 10.1.1.3
> up ip route add default via 10.1.1.7 table route_services
> up ip rule add fwmark 0x2 lookup route_services
>
> Ondra Flidr
>
> ---------- Původní e-mail ----------
> Od: Jan B. Kolář <janbivoj.kolar at zazen-nudu.cz>
> Komu: vpsFree.cz Community list <community-list at lists.vpsfree.cz>
> Datum: 5. 6. 2020 12:41:49
> Předmět: [vpsFree.cz: community-list] Proxy pro mailserver
>
>
> Ahoj všichni,
>
> včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem
> jsem to
> poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a
> nabídku
> dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že
> raději přenos serveru z playgroundu o týden odložím a zkusím to
> rovnou
> udělat "načisto" s využitím proxy.
>
> Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika
> Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend
> nastudovat
> a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě
> mám teď
> jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx,
> MariaDB,
> Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian
> 10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z
> "hostingového" VPS přesunout mailové služby na ten nový a mít tak dva
> stroje, jeden na mail a jeden na web.
>
> Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten
> mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam
> proxy
> pro webové služby?
>
> Co byste případně použili jako proxy software před ten mail
> server? Já
> se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi
> úplně jasné použití "http auth". Jestli jsem to pochopil správně,
> musel
> bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné.
> Ten
> přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil
> a měl
> v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom
> stroji.
>
> Všechny zdraví
>
> Honza
>
> --
> Jan B. Kolář
>
> Zažeň nudu
> Hodolanská 17, 779 00 Olomouc
> tel: +420 605 800 859
> e-mail: janbivoj.kolar at zazen-nudu.cz
> www.zazen-nudu.cz
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20200608/0bbee680/attachment-0001.html>
More information about the Community-list
mailing list