rinetd & sendmail-access.db
 

hallo,

ich habe folgendes problem: seit ich meinen mailserver (sendmail-8.12.6 und cyrus-2.0.16 auf suse-7.3) hinter einer firewall (susefirewall2 / rinetd-0.61 auf suse-7.3) betreibe, komme ich mit meiner access-datenbank nicht mehr auf gleich.

nach einem umzug musste ich zwecks nat und dhcp recht rasch eine linux-kiste aufsetzen, um den mailserver wieder ans netz zu bringen. bisher hing dieser an einem router, welcher nat/dhcp uebernahm.

nun hat natuerlich die firewall zwei nics, von welchen eine eine private ip (192.168.0.x) hat und somit die verbindung des mailservers nach aussen leider in die interne ip-range faellt. deswegen kann ich nun nicht mehr sagen, dass er alles interne einfach relayen soll und die dinger von draussen weglassen :-((

irgendwelche tips, wie ich den rinetd dazu bringen koennte, die originale ip-adresse bestehen zu lassen?

ps: meine access:
danke, gruss joerg

Hm...der Mailserver hängt ja jetzt auch auf einem Router (Linuxserver)und deine interne IP 192... kann von aussen nicht angesprochen werden.
Versteh dein Problem nicht ganz :confused:

Sloter

sorry, war gestern schon ein bisschen wirr von der vielen sendmail-konfigurerei...

das problem ist das relaying von sendmail: bei der alten konfiguration (zyxel router) hatte ich mittels access.db geregelt, dass alles aus dem ip-bereich 192.168.0 relayed werden soll, von aussen kommendes allerdings nur von ganz bestimmten ips (statische ip zuhause etc.)

mit dem rinetd ists allerdings so, dass er die pakete umschreibt und daher jedes paket aus dem 192.168.0 bereich zum mailserver kommt. dadurch kann ich das relaying nun nicht mehr aufgrund der ursprungs-ip entscheiden, denn wenn ich alles verbiete, was von der firewall kommt, dann empfang ich natuerlich auch keine mails mehr von draussen :-(. und alle ips aus einem bereich bis auf eine zu erlauben, und das fuer einzelne domains, das geht scheinbar net(?)

hab ich mich nun verstaendlicher ausgedrueckt?

ps: ich wunder mich gerade darueber, dass er ueberhaupt fuer andere domains als die in 'relay_domains' gelisteten weiterleiten will - woran koennte das liegen?

pps: ich versuche gerade, smtp mit auth zu realisieren, aber da krieg ich jetzt jedesmal beim starten einen 'segmentation fault' wenn er die sasldb oeffnen will :-(

ps: hier ist mein problem noch mal dargestellt:

http://www.boutell.com/rinetd/ unter 'bugs':

so, jetzt mal ganz anders: was gibts denn fuer alternativen zu rinetd? die funktionalitaet waer prinzipiell schon in ordnung, nur zwei punkte stoeren:

# server, zu denen weitergeleitet wird, koennen die source nicht mehr erkennen

# ftp funktioniert nicht

hat da jemand ev. einen tip fuer mich?

IPTables

Sloter

Also für alle, die wie ich nicht wussten, was rinetd ist, hab ich das gefunden:
Ansonsten kann ich mich nur Sloter anschließen - IPTABLES.

hm... hab bis jetzt nicht mitbekommen, dass iptables nat auch macht - dem ist aber scheinbar so... jaja, was so ein blick auf die homepage alles bringt :-))

frage: wenn iptables als firewall fungiert und via port mapping/forwarding pakete zb von der externen nic ueber die interne an einen server im internen adress-bereich weiterleitet, ist es dann ueberhaupt moeglich, dass der interne server die urspruengliche externe absender-adresse sieht?

wie gesagt, ich wuerde meinem sendmail gerne sagen, dass er alles relayen darf, was aus dem internen bereich kommt, und noch einige wenige externe ips spezifizieren... und dazu ist es notwendig, dass er pakete aufgrund der source-address als von aussen kommend erkennen kann (!)

dank nochmal an die kompetente mitleserschaft!

Klar erkennt er von wo die Anfrage kommt.

Du kannst aber direkt mit IPTables IP`s/Domains sperren/zulassen.

Sloter

ich kanns leider net schon bei der firewall blocken, weil sonst die emails (pakete), die an unsere adressen gesendet und auf unserem server empfangen werden, auch nicht ankommen wuerden :-(

wenn der sendmail allerdings sieht, wer der absender is, dann gibts ka problem :-)

hab grad folgendes entdeckt: bei der auf meinem server in verbindung mit dem rinetd laufenden suse-firewall (genaugenommen im file 'firewall2.rc.config') hab ich entdeckt, dass man ein weiteres file namens 'firewall2-custom.rc.config' einbinden kann. in diesem file findet sich folgendes:

hat das schon jemand ausprobiert? iptables waeren in der version 'iptables-1.2.2-60' vorhanden, sollte ich updaten?

gruss joerg

ps: SuSEfirewall2-1.7-10

nachtrag: hab die susefirewall und rinetd weggeschmissen und bin jetzt ausschliesslich mit iptables unterwegs. allerdings laufen aus gruenden mangelnder hardware (mom. noch) auf dem selben server auch dhcp & dns.
ich wuerd jetzt gerne testen, wie dicht die firewall wirklich haelt. kennt jemand seiten wo man das webbasiert erledigen kann bzw welche tools sollte ich verwenden?