[Postfixbuch-users] Postfi in DMZ
Jan P. Kessler
postfix at jpkessler.info
Mi Jan 30 22:31:05 CET 2008
Thomas Beger schrieb:
> Jaaa das klingt gut. ;-))
> jetzt mal schön einzeln, der große Eperte bin ich noch nicht ;-)
> Die ssh- Verbindung wird vom wem innen wie nach in DMZ gebaut?
>
Was nicht ist, kann ja noch werden... Die ssh-Verbindung wird vom
internen Mailserver zum DMZ-Mailserver aufgebaut. Dazu benutzt Du den
o.g. folgenden Aufruf.
> Wo kommt also
>
> root(soll es root sein oder ein anderer Benutzer dessen Key auf
> mailhost.dmz.tld liegt) mit ssh -R 25:[127.0.0.1(also localhost)]:2525
> mailhost.dmz.tld ?
>
ok, schritt für schritt:
- du erstellt ein schlüsselpaar auf mail-lan
ssh-keygen -t rsa
- dann überträgst du den public key ($HOME/.ssh/id_rsa.pub) auf mail-dmz
und hängst ihn dort an die datei $HOME/.ssh/authorized_keys an. außerdem
änderst du in der dortigen sshd_config den parameter "AllowRootLogin"
auf "yes" oder besser "without-password".
- nun testest du, ob der login ohne PW funktioniert (genau von mail-lan
nach mail-dmz)
- nun baust du den tunnel (genau wieder mail-lan) auf. die syntax dazu ist
ssh -R localaddress:localport:remotehost:remoteport
also in deinem fall
ssh -R 25:127.0.0.1:2525 mail-dmz
somit entsteht auf mail-dmz ein tunnelende auf port 2525 das direkt
auf port 25 (also smtp) auf dem localhost (hier: mail-lan) endet.
- dies testest du, indem du auf mail-dmz einen "telnet localhost 2525"
machst. du solltest dann das banner von mail-lan zu sehen bekommen.
- damit sich das ganze schön scripten lässt, fügst du noch ein paar
parameter hinzu und packst es dann in ein startscript im richtigen runlevel:
ssh -q -e none -C -f -N -R 25:127.0.0.1:2525 mail-dmz || echo
"ERROR: Could not start tunnel to mail-dmz" >&2
- nun startest du den tunnel und richtest die transport table auf
mail-dmz genau so ein:
zu.domain.intern relay:[127.0.0.1]:2525
- prinzipiell müsste das ganze auch als nicht root-user funktionieren,
da du ja einen port > 1024 bindest, ganz sicher bin ich aber nicht.
- dann bittest du mich, dir einen weiteren public key zu schicken, den
du dann schön brav auf deinen servern einsp... ok sorry, konnte ich mir
nicht verkneifen. irgendwie muss man ja schauen, wie man sein botnet am
laufen hält ;-)
Mehr Informationen über die Mailingliste Postfixbuch-users