Есть оплачиваемая работа по созданию технологии настройки почтового сервера, чтобы он функционировал через SSH-туннель.Исходные данные:
1. Есть локальный Linux-сервер (например, с ip=192.168.1.5) с установленным почтовым сервером.
2. Есть удаленный VPS на CentOS 6 с публичным белым адресом.
3. Между этими серверами организован SSH-туннель, предоставляющий SOCKS-5.Задача:
Необходимо создать хавту по настройке данных серверов таким образом, чтобы локальный почтовый сервер извне выглядел как публичный, т.е. имел адрес VPS, но чтобы при этом в заголовках писем отсутствовали признаки локального сервера.
> Есть оплачиваемая работа по созданию технологии настройки почтового сервера, чтобы он функционировал
> через SSH-туннель.
> Исходные данные:
> 1. Есть локальный Linux-сервер (например, с ip=192.168.1.5) с установленным почтовым сервером.
> 2. Есть удаленный VPS на CentOS 6 с публичным белым адресом.
> 3. Между этими серверами организован SSH-туннель, предоставляющий SOCKS-5.
> Задача:
> Необходимо создать хавту по настройке данных серверов таким образом, чтобы локальный почтовый
> сервер извне выглядел как публичный, т.е. имел адрес VPS, но чтобы
> при этом в заголовках писем отсутствовали признаки локального сервера.Могу сделать
> Могу сделатьДа, для начала - я неправильно назвал тему: не по созданию, а по соданию ^методики^ настройки.
Почтовый сервер, конечно же, готовый, к примеру, Postfix.Прежеде чем перейдем к конкретике, обозначьте, плиз, примерную сумму за работу.
Можете сами сделать. Гугл все умеет и знает. Спросите алису.
Увы, в гугле готовых решений под эту задачу нет. Вообще.
А делать самому - если бы я это сумел, то сюда не обращался бы.Данная задача проста лишь на поверхности, а если копнуть глубже, то возникают существенные препятствия по реализации.
Какие именно - вам должно быть виднее, если вы, в отличие от меня, являетсь специалистом по сетевым технологиям.
Пишите в личку.
> Пишите в личку.
> Пишите в личку.Знать бы еще, где здесь эта личка. Сколько уже хожу на этот форум, ни разу ее не наблюдал.
Сегодня потестю на стенде и отпишусь.
> Сегодня потестю на стенде и отпишусь.BarS, удалось ли потестить?
> Есть оплачиваемая работа по созданию технологии настройки почтового сервера, чтобы он функционировал
> через SSH-туннель.
> Исходные данные:
> 1. Есть локальный Linux-сервер (например, с ip=192.168.1.5) с установленным почтовым сервером.
> 2. Есть удаленный VPS на CentOS 6 с публичным белым адресом.
> 3. Между этими серверами организован SSH-туннель, предоставляющий SOCKS-5.
> Задача:
> Необходимо создать хавту по настройке данных серверов таким образом, чтобы локальный почтовый
> сервер извне выглядел как публичный, т.е. имел адрес VPS, но чтобы
> при этом в заголовках писем отсутствовали признаки локального сервера.Если вы на VPS хотите обойтись ТОЛЬКО SOCKS-5, то задача не имеет решения, вернее решение "половинчатое", вы сможете только отправлять письма ито только на сервера, которые НЕ выполняют ряд проверок.
Причина - SOCKS-5 позволяет ТОЛЬКО инициировать "изнутри->наружу" и не позволяет (как и ЛЮБОЙ ДРУГОЙ НАТ) "снаружи->внутрь"
> Причина - SOCKS-5 позволяет ТОЛЬКО инициировать "изнутри->наружу" и не позволяет (как и
> ЛЮБОЙ ДРУГОЙ НАТ) "снаружи->внутрь"Сервер может отправлять письма с разных IP, у меня два и оба работают одновременно. Точнее один сервер на 2 IP. Но тут конечно непонятны сама постановка, что есть, чего нет....
> Но тут конечно > непонятны сама постановка, что есть, чего нет....Спрашивайте - уточню.
>> Причина - SOCKS-5 позволяет ТОЛЬКО инициировать "изнутри->наружу" и не позволяет (как и
>> ЛЮБОЙ ДРУГОЙ НАТ) "снаружи->внутрь"
> Сервер может отправлять письма с разных IP, у меня два и оба
> работают одновременно. Точнее один сервер на 2 IP. Но тут конечно
> непонятны сама постановка, что есть, чего нет....А причем тут это?? вопрос о приеме писем и о проверках типа существования ящика отправителя, fqdn и т.д.
ОТПРАВИТЬ не проблема, проблема ПРИНЯТЬ запрос снаружи, для этого порты прокидывают или обратный прокси ставят.
SOCKS5 этого попросту не умеет от слова "совсем"
Пока вы тут дискутируете :), отвечу, зачем мне это понадобилось.Первая причина банальная - экономия финансов.
Сейчас использую классический полноценный почтовый сервер на удаленном VPS.
Он работает без проблем, но при ОЗУ не менее 1 МБ.
Раньше пытался использоват его при 512 МБ, но почтовик начинает глючить, а потом CentOS вообще внезапно вырубается, не оставляя в логах никаких сообщений - впечатление такое, что внезапно обрубили питание или нажали Reset.
Пришлось перейти на 1 МБ, проблемы исчезли, но платить пришлось больше.Вторая причина: при переезде к другому хостеру приходится все это хозяйство ставить и настраивать заново, что довольно утомительно и затратно во времени.
Поэтому прикинул, что если поставит у себя локальный почтовый сервер, то для него, во-первых, можно отвести сколько угодно ОЗУ, а во-вторых, настраивать его придется только 1 (один раз).
При этом от VPS понадобится самая крохотная функция - поддержка сервера или клиента SSH (кстати, здесь можно поразмыслить, кто из них здесь лучше подходит), которые настраиваются легко и быстро, и ему вполне хватит и 256 МБ, что гораздо дешевле.
А при смене VPS хостера понадобится самые незначительные и простые изменения в VPS.Обе эти причины и вынудили попробовать реализовать это решение.
PS. Конечно, в крайнем случае туннель можно реализовать и на VPN, но SSH-тунель настраивается гораздо проще и быстрее.
>[оверквотинг удален]
> придется только 1 (один раз).
> При этом от VPS понадобится самая крохотная функция - поддержка сервера или
> клиента SSH (кстати, здесь можно поразмыслить, кто из них здесь лучше
> подходит), которые настраиваются легко и быстро, и ему вполне хватит и
> 256 МБ, что гораздо дешевле.
> А при смене VPS хостера понадобится самые незначительные и простые изменения в
> VPS.
> Обе эти причины и вынудили попробовать реализовать это решение.
> PS. Конечно, в крайнем случае туннель можно реализовать и на VPN, но
> SSH-тунель настраивается гораздо проще и быстрее.При этом возникает вопрос, почему сразу локально почтовик не поставить. Статический up будет дешевле стоить.
> При этом возникает вопрос, почему сразу локально почтовик не поставить.Это самое простое решение, и оно у меня одно время было.
Но мне не хочется привязывать IP почтовика к дому, хотелось бы, чтобы казалось, что он установлен где-то на островах Мумбо-Юмбо.
>[оверквотинг удален]
> придется только 1 (один раз).
> При этом от VPS понадобится самая крохотная функция - поддержка сервера или
> клиента SSH (кстати, здесь можно поразмыслить, кто из них здесь лучше
> подходит), которые настраиваются легко и быстро, и ему вполне хватит и
> 256 МБ, что гораздо дешевле.
> А при смене VPS хостера понадобится самые незначительные и простые изменения в
> VPS.
> Обе эти причины и вынудили попробовать реализовать это решение.
> PS. Конечно, в крайнем случае туннель можно реализовать и на VPN, но
> SSH-тунель настраивается гораздо проще и быстрее.В инете есть инструкция ssh туннель, iptables dnat + nat. Вот и все. Кстати вы мб с гб похоже путаете.
> В инете есть инструкция ssh туннель, iptables dnat + nat. Вот и
> все.Нет, не все, а где же на все это целевое хвату? ;)
Я не сетевик, поэтому объединить все эти разрозненные сведения в одно законченное хавту никак не сумею.> Кстати вы мб с гб похоже путаете.
Это точно, привычка. Застрял в прошлом тысячелетии :)
>[оверквотинг удален]
> придется только 1 (один раз).
> При этом от VPS понадобится самая крохотная функция - поддержка сервера или
> клиента SSH (кстати, здесь можно поразмыслить, кто из них здесь лучше
> подходит), которые настраиваются легко и быстро, и ему вполне хватит и
> 256 МБ, что гораздо дешевле.
> А при смене VPS хостера понадобится самые незначительные и простые изменения в
> VPS.
> Обе эти причины и вынудили попробовать реализовать это решение.
> PS. Конечно, в крайнем случае туннель можно реализовать и на VPN, но
> SSH-тунель настраивается гораздо проще и быстрее."VPN" -- это какбы общий термин; типа "автомобиль"...
Для решения подобной задачи: на VPS -- SMTP+POP3+IMAP реверс прокси, например nginx-ом реализованный, + например VPN в варианте ppp over SSH, например
http://swaj.net/zametki/z-linux-ppp-over-ssh.htmlи
https://www.dmosk.ru/miniinstruktions.php?mini=nginx-proxy-mail
Склеиваете 2 в 1, получаете выхлоп...
> "VPN" -- это какбы общий термин; типа "автомобиль"...Я специально обозначил VPN, чтобы дать свободу выбора.
Можно OpenVPN и т.д., что вам болшще нравится.> Для решения подобной задачи: на VPS -- SMTP+POP3+IMAP реверс прокси,
> например nginx-ом реализованный, + например VPN в варианте ppp over SSH,Всего лишь? :) Да реализация этого решения получится еще сложнее, чем просто поставить на VPS почтовик.
Нужно же простое решение, чтобы при смене хостера быстренько настроить соответствующий софт на новом VPS,
>> "VPN" -- это какбы общий термин; типа "автомобиль"...
> Я специально обозначил VPN, чтобы дать свободу выбора.
> Можно OpenVPN и т.д., что вам болшще нравится.
>> Для решения подобной задачи: на VPS -- SMTP+POP3+IMAP реверс прокси,
>> например nginx-ом реализованный, + например VPN в варианте ppp over SSH,
> Всего лишь? :) Да реализация этого решения получится еще сложнее, чем просто
> поставить на VPS почтовик.
> Нужно же простое решение, чтобы при смене хостера быстренько настроить соответствующий
> софт на новом VPS,Таки всего лишь :)
Для прокси достаточно минимальных ресурсов, прокси ничего у себя не хранит, только транслирует соединения.
Вся перенастройка на новом VPS - скопировать 3 файла: nginx конфиг, ssh ключ, ppp конфиг.
На почтовике (который переносить никуда не надо) - заменить IP адрес для ssh и в DNS поменять MX.
Кроме того можно VPS вообще плавно менять: запускаете 2-ой VPS, добавляете в DNS второй MX с лучшим приоритетеом, смотрите, что все "побежало куда надо", гасите первый, вычеркиваете из DNS старый MX."просто поставить на VPS почтовик." -- так надо еще и пользователей перекинуть и почту перенести.
fantomОк, прокси так прокси, нам, татарам, один хфиг :)
Но это общая идея, а что насчет вожделенного хавту?
> fantom
> Ок, прокси так прокси, нам, татарам, один хфиг :)
> Но это общая идея, а что насчет вожделенного хавту?
>> fantom
>> Ок, прокси так прокси, нам, татарам, один хфиг :)
>> Но это общая идея, а что насчет вожделенного хавту?DNAT
http://blog.102web.ru/poleznye-komandy-linux/iptables-dnat/
>>> fantom
>>> Ок, прокси так прокси, нам, татарам, один хфиг :)
>>> Но это общая идея, а что насчет вожделенного хавту?NAT
https://the-bosha.ru/2010/06/05/prosetishiy-nat-v-linux-s-po.../
>>> Причина - SOCKS-5 позволяет ТОЛЬКО инициировать "изнутри->наружу" и не позволяет (как и
>>> ЛЮБОЙ ДРУГОЙ НАТ) "снаружи->внутрь"
>> Сервер может отправлять письма с разных IP, у меня два и оба
>> работают одновременно. Точнее один сервер на 2 IP. Но тут конечно
>> непонятны сама постановка, что есть, чего нет....
> А причем тут это?? вопрос о приеме писем и о проверках типа
> существования ящика отправителя, fqdn и т.д.
> ОТПРАВИТЬ не проблема, проблема ПРИНЯТЬ запрос снаружи, для этого порты прокидывают или
> обратный прокси ставят.
> SOCKS5 этого попросту не умеет от слова "совсем"Да не нервничай. Просто обычно постановщики задачи говорят одно, а фактически есть ssh и доступ к серверу. ;)
VPN ssh
https://habr.com/ru/post/435546/#6DNAT
http://blog.102web.ru/poleznye-komandy-linux/iptables-dnat/NAT
https://the-bosha.ru/2010/06/05/prosetishiy-nat-v-linux-s-po...
Выждал для приличия, может, еще кто-то что-нибудь добавит интересное :)
Спасибо, конечно, за столь познавательные статьи!
Но это же не хавту, и что же с ними делать, если я не сетевик?
Ещё актуально?Понимаете в чём дело, в вашей задаче очень большой разброс сложности.
Она может оказаться настолько тривиальна, что уйдёт больше времени на уточнение того, что именно ожидается, чем на обственно конфигурацию.
Однако, в ней могут оказаться какие-то нюансы, преодоление которых увеличит время выполнения в 10 раз, или в 100 раз.Народ тут добросовестный, поэтому вместо того чтобы рыбачить в мутной воде, вам накидали доков и советов.
По существу: SOCKS-5 это принципиально? Для половины задачи можно простым пробросом портов обойтись.Например, убедитесь что на удалённом сервере можно делать reverse forwarding, это в /etc/ssh/sshd_config:
AllowTCPForwarding yes
GatewayPorts yes...а потом на локальном сервере сделайте так:
ssh -R25:localhost:25 -R465:localhost:465 -R587:localhost:687 -R143:localhost:143 -R993:localhost:993 -R110:localhost:110 -R995:localhost:995 удаленный_VPSСправка: https://www.putorius.net/how-to-configure-ssh-port-forwardin...
Это позволит принимать и читать почту извне.
Чтобы отправлять почту наружу непосредственно с локального сервера, придётся делать что-то ещё. Например, определённым образом сконфигурировать какой-нибудь лёгкий MTA на VPS. Или вместо SSH я бы воспользовался Tinc VPN (тупее и проще) или OpenVPN (гибче и более распостранено). В любом случае, рекомендую есть слона по частям.
Licha Morada:> Ещё актуально?
Все ещё, и эта актуальность только возрастает из года в год :)
Иногда находятся умельцы, вроде как профи, которые резво берутся за работу, а потом куда-то тихо сливаются ;)
> Народ тут добросовестный, поэтому вместо того чтобы рыбачить
> в мутной воде, вам накидали доков и советов.За советы, безусловно, спасибо!
Но поскольку я аж ни разу не сетевик, эти советы для меня бесполезны, а нужна законченная работа, т.е. "под ключ".
> По существу: SOCKS-5 это принципиально?
> Для половины задачи можно простым пробросом портов обойтись.Не принципиально, но желательно, потому что нужно шифрование всего трафика, включая DNS, между локальным почтовым сервером и тем, что находится на удаленном VPS.
SOCKS-5, в частности, позволяет пропускать трафик через Tor, что еще больше шифрует его.
> Но поскольку я аж ни разу не сетевик, эти советы для меня
> бесполезны, а нужна законченная работа, т.е. "под ключ".Я думал, вы хавту хотели, чтобы самостоятльно это поддерживать и развивать.
Боюсь, "под ключ" в таких условиях оно рано или поздно перестанет работать, а диагностировать и чинить будет некому. Не советую, дороже выйдет.
По моим наблюдениям, под ключ можно делать когда сам разбираешся и неохота возиться, или есть бюджет на сервисный контракт, или когда решение совершенно стандартно и в случае чего можно нанять кого угодно и он разберётся. Есть примета, что экзотика под ключ и без поддержки, это к простою.>> По существу: SOCKS-5 это принципиально?
>> Для половины задачи можно простым пробросом портов обойтись.
> Не принципиально, но желательно, потому что нужно шифрование всего трафика, включая DNS,
> между локальным почтовым сервером и тем, что находится на удаленном VPS.Способ, который я описал, шифрует трафик с помощью SSH, но он делает половину нужного, только снаружи внутрь.
fantom выше сказал про способ сделать другую половину, изнутри наружу.Не хочу махать морковкой перед носом, но у меня была на поддержке пара аналогичных решений, правда не для почты и не на SSH (для MySQL в одну сторону и HTTP+Mongo в другую, на Tinc). Так вот, оно вполне тривиально, но это экзотика, от которой я был рад избавиться. Потому что этим надо заниматься когда оно раз в год падает, а полировать решение не рентабельно т.к. оно единственное в своем роде.
Позволю себе порекомендовать, но по конкретному вопросу, а исходя из потребности которую вы описали позже: не сязывайтесь.
Купите себе shared hosting с почтой, и ходите на неё через туннель SSH, если так приспичило. Поспрашивайте, какими провайдерами коллеги пользуются, их море. Вам не нужен самый лучший или самый дешёвый, нужен просто достаточныо хороший. К GoDaddy только не надо. Для справки, из первых рук, лично я держу персональнуя почту на DirectNIC и плачу им около $60 в год, вместе с доменом. Это физически в США, у вас, наверное, пинг будет долгий, но можно же найти хостера и поближе.Прикиньте, за сколько $$ вы найдёте специалиста чтобы настроить то что вы просили, и сколько времени потребуется чтобы отбить разницу. Да раньше ишак сдохнет. И во сколько обойдётся головная боль если оно сломается. И вообще, неужели ваша минимальная VPSка дешевле $60 в год получается? Это если прагматично подойти.
А если для души и поиграться, то при чём тут "под ключ"?
А если для поговорить, то мы, собственно, уже достигли.
Удачи.
Спасибо, спасибо!
Конечно, в сетях чуток соображаю, умею настроить web-сервер или iRedMail, слегка откорректировать iptables, но то все такое, мелочи.
А вот всякие хитрые маршрутизации - не, это для меня, нужен специалист.Что касается задачи "под ключ".
Под этим понимал хавту, пошаговую шпаргалку, которую достаточно тупо выполнить, и всё заработает "само".Насчет поддержки во времени. Думаю, она не понадобится, т.к. если придерживаться одной мажорной версии дистра (CentOS 6) и не запрыгивать на верхние, то все будет работать годами, не требуя никакого внимания.
Ну разве что обновляться, да и то сомневаюсь в их полезности, поскольку почтовик, как и десктоп, тоже будет зароутером - https://www.opennet.me/openforum/vsluhforumID15/4542.htmlКак в той известной байке о почтовом сервере на Linux (на Фрюхе, Полуоси и т.д. - каждый сказывает эту байку во что горазд), который один раз настроили, а потом случайно замуровали стену в помещение, где он находится, и все админы постепенно вообще забыли о его сущестовании, пока он не сломался физически и перестала ходить почта, и тогда начали искать - а где же, собственно, у нас почтовый сервер? :)
> Конечно, в сетях чуток соображаю, умею настроить web-сервер или iRedMail, слегка
> откорректировать iptables, но то все такое, мелочи.Мне кажется, это уже выше порога входа.
> А вот всякие хитрые маршрутизации - не, это для меня, нужен специалист.
Не требуется там никакой хитрой маршрутизации. Ну, то есть, можно, конечно, накрутить при желании. Но это не обязательно.
> Что касается задачи "под ключ".
> Под этим понимал хавту, пошаговую шпаргалку, которую достаточно тупо выполнить, и всё
> заработает "само".Или шпаргалку должен составлять админ уровня Б-г, с даром предвиденья, но это дорого. Или решение дожно быть очень стандартным, используя стандартные компоненты. Стандартные, читай, предсказуемые, а значит отшлифованные многими многими человеко-часами использования и траблшутинга. А в остальных сучаях, так бывает только в презентациях у продаванов.
> Думаю, она не понадобится, т.к. если придерживаться одной
> мажорной версии дистра (CentOS 6) и не запрыгивать на верхние, то
> все будет работать годами, не требуя никакого внимания.Боюсь, это заблуждение. Если у вас система изолированна о мира, то может быть. А так как она с миром взаимодействует, то ей не обязательно менятся чтобы что-то сломалость. Достаточно чтобы что-то изменилось в окружающем мире. Внимание требуется не для того чтобы оно само по себе работало, а чтобы реагировать на изменения вокруг. В том числе и превентивно.
> Как в той известной байке о почтовом сервере на Linux (на Фрюхе,
> Полуоси и т.д. - каждый сказывает эту байку во что горазд),
> который один раз настроили, а потом случайно замуровали стену в помещение,
> где он находится, и все админы постепенно вообще забыли о его
> сущестовании, пока он не сломался физически и перестала ходить почта, и
> тогда начали искать - а где же, собственно, у нас почтовый
> сервер? :)Замечательная байка, очень её люблю. Заметьте, они не от хорошей жизни стали этот почтовик искать. У них таки перестала ходить почта, и никто не знал что с этим делать.
> Боюсь, это заблуждение. Если у вас система изолированна о мира, то может быть.
> А так как она с миром взаимодействует, то ей не обязательно менятся
> чтобы что-то сломалость. Достаточно чтобы что-то изменилось в окружающем мире.В вебе - да, меняется чуть ли не каждый день благодаря "неустанным усилиям" разработчиков Мозиллы и Хрома.
Особенно Мозиллы - то какой-нибудь индикатор передвинут, то ли удалят его, то ли какая-то косметика.
И тут же круто меняют новер версии, якобы произшло нечто чрезывычайно революционное.
Когда коту делать нечего...А вот почта - давно ли и часто ли меняется спецификация на POP3/SMTP/IMAP?
У меня создалось впечатление, что она заморозилась на многие годы, и это есть очень хорошо!
Потому что это означает, что она фондументально продумана, а вторых, для админов тишь да благодать, когда ничего зря не меняется.
Точнее скажут знатоки RFTM.
>> Боюсь, это заблуждение. Если у вас система изолированна о мира, то может быть.
>> А так как она с миром взаимодействует, то ей не обязательно менятся
>> чтобы что-то сломалость. Достаточно чтобы что-то изменилось в окружающем мире.
> А вот почта - давно ли и часто ли меняется спецификация на
> POP3/SMTP/IMAP?
> У меня создалось впечатление, что она заморозилась на многие годы, и это
> есть очень хорошо!Я говорю не про изменения конкретно в спецификации POP3/SMTP/IMAP, которая, действительно, похвально стабильна, а обобщённо.
Порт закрыли, список поддерживаемых протоколов шифрования перестал пересекаться, адресация в локальной сети изменилась, ключи или пароли надо обновить. Апдейт системы, наконец, который мы в соседнем топике обсуждаем. Это только то, что сразу в голову пришло.Заметьте, что каждый из этих факторов по отделности более или менее стабилен или поддаётся контролю. Но дело в том, что их /много/. Что-нибудь, да изменится. А поддержание "ширмы", которая изолирует вашу систему от изменений в окружающем мире, сравнимо по сложности (если не превышает) с поддержанием в актуальном состоянии саму систему.
Ну что сказать.. мой десятилетний опыт в одной из компаний показал, что поддержка почтового сервера - самое нетрудозатратное и приятное занятие, поскольку он практически не требовал к себе внимания.
Попросту говоря - работал себе и работал, не создавая проблем, таким его и оставил.
Единственное, что изредка приходилось делать - прибивать особо назойливый спам и вносить публичные почтовые сервисы в черный список, чтобы хомячки не пользовались частной почтой, а только корпоративной.
> Ну что сказать.. мой десятилетний опыт в одной из компаний показал, что
> поддержка почтового сервера - самое нетрудозатратное и приятное занятие, поскольку
> он практически не требовал к себе внимания.Так мы не о почтовом сервере говорим, а о работающем через туннель. Причём даже не столько о сервере работающим, сколько а создании и поддержке туннеля для него.
> Так мы не о почтовом сервере говорим, а о работающем через туннель.
> Причём даже не столько о сервере работающим, сколько а создании и
> поддержке туннеля для него.Ну да, но поскольку туннель тесно связан с почтовым сервером, то можно надеятся, что раз сервер не требует частых перенастроек, то и туннель по идее должен наследовать эту приятную фичу.