[Postfixbuch-users] Postfi in DMZ

Jan P. Kessler postfix at jpkessler.info
Mi Jan 30 22:31:05 CET 2008


Thomas Beger schrieb:
> Jaaa das klingt gut. ;-))
> jetzt mal schön einzeln, der große Eperte bin ich noch nicht ;-)
> Die ssh- Verbindung wird vom wem innen wie nach in DMZ gebaut?
>   

Was nicht ist, kann ja noch werden... Die ssh-Verbindung wird vom 
internen Mailserver zum DMZ-Mailserver aufgebaut. Dazu benutzt Du den 
o.g. folgenden Aufruf.

> Wo kommt also
>
> root(soll es root sein oder ein anderer Benutzer dessen Key auf
> mailhost.dmz.tld liegt) mit ssh -R 25:[127.0.0.1(also localhost)]:2525
> mailhost.dmz.tld ?
>   

ok, schritt für schritt:

- du erstellt ein schlüsselpaar auf mail-lan
      ssh-keygen -t rsa

- dann überträgst du den public key ($HOME/.ssh/id_rsa.pub) auf mail-dmz 
und hängst ihn dort an die datei $HOME/.ssh/authorized_keys an. außerdem 
änderst du in der dortigen sshd_config den parameter "AllowRootLogin" 
auf "yes" oder besser "without-password".

- nun testest du, ob der login ohne PW funktioniert (genau von mail-lan 
nach mail-dmz)

- nun baust du den tunnel (genau wieder mail-lan) auf. die syntax dazu ist

    ssh -R localaddress:localport:remotehost:remoteport

           also in deinem fall

    ssh -R 25:127.0.0.1:2525 mail-dmz

  somit entsteht auf mail-dmz ein tunnelende auf port 2525 das direkt 
auf port 25 (also smtp) auf dem localhost (hier: mail-lan) endet.

- dies testest du, indem du auf mail-dmz einen "telnet localhost 2525" 
machst. du solltest dann das banner von mail-lan zu sehen bekommen.

- damit sich das ganze schön scripten lässt, fügst du noch ein paar 
parameter hinzu und packst es dann in ein startscript im richtigen runlevel:

    ssh -q -e none -C -f -N -R 25:127.0.0.1:2525 mail-dmz || echo 
"ERROR: Could not start tunnel to mail-dmz" >&2

- nun startest du den tunnel und richtest die transport table auf 
mail-dmz genau so ein:

    zu.domain.intern    relay:[127.0.0.1]:2525

- prinzipiell müsste das ganze auch als nicht root-user funktionieren, 
da du ja einen port > 1024 bindest, ganz sicher bin ich aber nicht.

- dann bittest du mich, dir einen weiteren public key zu schicken, den 
du dann schön brav auf deinen servern einsp... ok sorry, konnte ich mir 
nicht verkneifen. irgendwie muss man ja schauen, wie man sein botnet am 
laufen hält ;-)




Mehr Informationen über die Mailingliste Postfixbuch-users