rinetd & sendmail-access.db

jonix · 27.12.2002, 16:41

hallo,

ich habe folgendes problem: seit ich meinen mailserver (sendmail-8.12.6 und cyrus-2.0.16 auf suse-7.3) hinter einer firewall (susefirewall2 / rinetd-0.61 auf suse-7.3) betreibe, komme ich mit meiner access-datenbank nicht mehr auf gleich.

nach einem umzug musste ich zwecks nat und dhcp recht rasch eine linux-kiste aufsetzen, um den mailserver wieder ans netz zu bringen. bisher hing dieser an einem router, welcher nat/dhcp uebernahm.

nun hat natuerlich die firewall zwei nics, von welchen eine eine private ip (192.168.0.x) hat und somit die verbindung des mailservers nach aussen leider in die interne ip-range faellt. deswegen kann ich nun nicht mehr sagen, dass er alles interne einfach relayen soll und die dinger von draussen weglassen :-((

irgendwelche tips, wie ich den rinetd dazu bringen koennte, die originale ip-adresse bestehen zu lassen?

ps: meine access:

Code:

TO:domain1.at                RELAY
TO:domain2.at                RELAY
192.168.0                    RELAY

danke, gruss joerg

Sloter · 27.12.2002, 23:36

Hm...der Mailserver hängt ja jetzt auch auf einem Router (Linuxserver)und deine interne IP 192... kann von aussen nicht angesprochen werden.
Versteh dein Problem nicht ganz

Sloter

jonix · 28.12.2002, 13:04

sorry, war gestern schon ein bisschen wirr von der vielen sendmail-konfigurerei...

das problem ist das relaying von sendmail: bei der alten konfiguration (zyxel router) hatte ich mittels access.db geregelt, dass alles aus dem ip-bereich 192.168.0 relayed werden soll, von aussen kommendes allerdings nur von ganz bestimmten ips (statische ip zuhause etc.)

mit dem rinetd ists allerdings so, dass er die pakete umschreibt und daher jedes paket aus dem 192.168.0 bereich zum mailserver kommt. dadurch kann ich das relaying nun nicht mehr aufgrund der ursprungs-ip entscheiden, denn wenn ich alles verbiete, was von der firewall kommt, dann empfang ich natuerlich auch keine mails mehr von draussen :-(. und alle ips aus einem bereich bis auf eine zu erlauben, und das fuer einzelne domains, das geht scheinbar net(?)

hab ich mich nun verstaendlicher ausgedrueckt?

ps: ich wunder mich gerade darueber, dass er ueberhaupt fuer andere domains als die in 'relay_domains' gelisteten weiterleiten will - woran koennte das liegen?

pps: ich versuche gerade, smtp mit auth zu realisieren, aber da krieg ich jetzt jedesmal beim starten einen 'segmentation fault' wenn er die sasldb oeffnen will :-(

jonix · 28.12.2002, 14:44

ps: hier ist mein problem noch mal dargestellt:

http://www.boutell.com/rinetd/ unter 'bugs':

Zitat:

The server redirected to is not able to identify the host the client really came from.

jonix · 30.12.2002, 10:47

so, jetzt mal ganz anders: was gibts denn fuer alternativen zu rinetd? die funktionalitaet waer prinzipiell schon in ordnung, nur zwei punkte stoeren:

# server, zu denen weitergeleitet wird, koennen die source nicht mehr erkennen

# ftp funktioniert nicht

hat da jemand ev. einen tip fuer mich?

Sloter · 30.12.2002, 12:31

IPTables

Sloter

_m3 · 30.12.2002, 12:36

Also für alle, die wie ich nicht wussten, was rinetd ist, hab ich das gefunden:

Zitat:

Redirects TCP connections from one IP address and port to another. rinetd is a single-process server which handles any number of connections to the address/port pairs specified in the file /etc/rinetd.conf. Since rinetd runs as a single process using nonblocking I/O, it is able to redirect a large number of connections without a severe impact on the machine. This makes it practical to run TCP services on machines inside an IP masquerading firewall. rinetd does not redirect FTP, because FTP requires more than one socket.

Ansonsten kann ich mich nur Sloter anschließen - IPTABLES.

jonix · 30.12.2002, 17:10

hm... hab bis jetzt nicht mitbekommen, dass iptables nat auch macht - dem ist aber scheinbar so... jaja, was so ein blick auf die homepage alles bringt

)

Zitat:

The netfilter/iptables project is the Linux 2.4.x / 2.5.x firewalling subsystem. It delivers you the functionality of packet filtering (stateless or stateful), all different kinds of NAT (Network Address Translation) and packet mangling.

frage: wenn iptables als firewall fungiert und via port mapping/forwarding pakete zb von der externen nic ueber die interne an einen server im internen adress-bereich weiterleitet, ist es dann ueberhaupt moeglich, dass der interne server die urspruengliche externe absender-adresse sieht?

wie gesagt, ich wuerde meinem sendmail gerne sagen, dass er alles relayen darf, was aus dem internen bereich kommt, und noch einige wenige externe ips spezifizieren... und dazu ist es notwendig, dass er pakete aufgrund der source-address als von aussen kommend erkennen kann (!)

dank nochmal an die kompetente mitleserschaft!

Sloter · 31.12.2002, 00:09

Klar erkennt er von wo die Anfrage kommt.

Du kannst aber direkt mit IPTables IP`s/Domains sperren/zulassen.

Sloter

jonix · 31.12.2002, 14:54

ich kanns leider net schon bei der firewall blocken, weil sonst die emails (pakete), die an unsere adressen gesendet und auf unserem server empfangen werden, auch nicht ankommen wuerden :-(

wenn der sendmail allerdings sieht, wer der absender is, dann gibts ka problem

27.12.2002, 16:41	#1
jonix Veteran Registriert seit: 03.08.2000 Alter: 47 Beiträge: 461	rinetd & sendmail-access.db hallo, ich habe folgendes problem: seit ich meinen mailserver (sendmail-8.12.6 und cyrus-2.0.16 auf suse-7.3) hinter einer firewall (susefirewall2 / rinetd-0.61 auf suse-7.3) betreibe, komme ich mit meiner access-datenbank nicht mehr auf gleich. nach einem umzug musste ich zwecks nat und dhcp recht rasch eine linux-kiste aufsetzen, um den mailserver wieder ans netz zu bringen. bisher hing dieser an einem router, welcher nat/dhcp uebernahm. nun hat natuerlich die firewall zwei nics, von welchen eine eine private ip (192.168.0.x) hat und somit die verbindung des mailservers nach aussen leider in die interne ip-range faellt. deswegen kann ich nun nicht mehr sagen, dass er alles interne einfach relayen soll und die dinger von draussen weglassen :-(( irgendwelche tips, wie ich den rinetd dazu bringen koennte, die originale ip-adresse bestehen zu lassen? ps: meine access: Code: TO:domain1.at RELAY TO:domain2.at RELAY 192.168.0 RELAY danke, gruss joerg ____________________________________ hampel.at

28.12.2002, 13:04	#3
jonix Veteran Registriert seit: 03.08.2000 Alter: 47 Beiträge: 461	sorry, war gestern schon ein bisschen wirr von der vielen sendmail-konfigurerei... das problem ist das relaying von sendmail: bei der alten konfiguration (zyxel router) hatte ich mittels access.db geregelt, dass alles aus dem ip-bereich 192.168.0 relayed werden soll, von aussen kommendes allerdings nur von ganz bestimmten ips (statische ip zuhause etc.) mit dem rinetd ists allerdings so, dass er die pakete umschreibt und daher jedes paket aus dem 192.168.0 bereich zum mailserver kommt. dadurch kann ich das relaying nun nicht mehr aufgrund der ursprungs-ip entscheiden, denn wenn ich alles verbiete, was von der firewall kommt, dann empfang ich natuerlich auch keine mails mehr von draussen :-(. und alle ips aus einem bereich bis auf eine zu erlauben, und das fuer einzelne domains, das geht scheinbar net(?) hab ich mich nun verstaendlicher ausgedrueckt? ps: ich wunder mich gerade darueber, dass er ueberhaupt fuer andere domains als die in 'relay_domains' gelisteten weiterleiten will - woran koennte das liegen? pps: ich versuche gerade, smtp mit auth zu realisieren, aber da krieg ich jetzt jedesmal beim starten einen 'segmentation fault' wenn er die sasldb oeffnen will :-( ____________________________________ hampel.at

30.12.2002, 10:47	#5
jonix Veteran Registriert seit: 03.08.2000 Alter: 47 Beiträge: 461	so, jetzt mal ganz anders: was gibts denn fuer alternativen zu rinetd? die funktionalitaet waer prinzipiell schon in ordnung, nur zwei punkte stoeren: # server, zu denen weitergeleitet wird, koennen die source nicht mehr erkennen # ftp funktioniert nicht hat da jemand ev. einen tip fuer mich? ____________________________________ hampel.at

31.12.2002, 14:54	#10
jonix Veteran Registriert seit: 03.08.2000 Alter: 47 Beiträge: 461	ich kanns leider net schon bei der firewall blocken, weil sonst die emails (pakete), die an unsere adressen gesendet und auf unserem server empfangen werden, auch nicht ankommen wuerden :-( wenn der sendmail allerdings sieht, wer der absender is, dann gibts ka problem ____________________________________ hampel.at

27.12.2002, 23:36	#2
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Hm...der Mailserver hängt ja jetzt auch auf einem Router (Linuxserver)und deine interne IP 192... kann von aussen nicht angesprochen werden. Versteh dein Problem nicht ganz Sloter

30.12.2002, 12:31	#6
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	IPTables Sloter

31.12.2002, 00:09	#9
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Klar erkennt er von wo die Anfrage kommt. Du kannst aber direkt mit IPTables IP`s/Domains sperren/zulassen. Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)