Das längste Thema

  • Ehm. Ich versuche mir gerade ne Mailcow auf meinen VPS 200 G8 zu basteln und irgendwie scheinen mein iptables Script und die Mailcow/Docker sich fürchterlich zu hassen :x


    Kann mir da jemand weiterhelfen? Welche Regeln setzt Mailcow und wie kriegt man das hin, dass das mit der eigenen Firewall halbwegs harmonisch abläuft? Also sprich, welche Chains dürfen meine Firewall Scripts nicht anfassen?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Kann mir da jemand weiterhelfen? Welche Regeln setzt Mailcow und wie kriegt man das hin, dass das mit der eigenen Firewall halbwegs harmonisch abläuft? Also sprich, welche Chains dürfen meine Firewall Scripts nicht anfassen?

    Das würde mich auch mal interessieren.


    Ich habe das bei mir auch nicht hinbekommen und dann recht schnell aufgegeben, da ich den "Luxus" habe die Firewall auch über den Hypervisor lösen zu können

    Meine (Netcup) Produkte: S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Wie können Leute eigentlich noch "Docker ist ja so toll" darstellen, wenn es hier gerade viele Probleme mit der Mailcow gibt?

    Weil das nicht die Schuld von docker ist.


    (Ich kann docker aber ebenfalls nicht ausstehen)

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Ich habe keine Ahnung - aber ich finde Docker auch alles andere als toll.... Mailcow zeigt sich irgendwie auch ein bisschen als Crap. Immerhin brauch ich nen einfachen Mailserver und keine riesigen Suite die Kaffe Kochen und Kuchen backen kann.


    Es ist eben jenes was H6G. nginx + acme, DB und unbound hab ich. Sogo etc. brauch ich nicht, hab ich in meiner Nextcloud. Webmailer hab ich auch schon ewig nen eigenen den ich auch behalten mag.


    Ich brauche prinizipiell nur nen einfachen Mailserver mit Verwaltungsoberfläche für User und Co. + Spamfilter (wobei, da tuts im Endeffekt sicher auch Proxmox Mailgateway).


    Allerdings sehe ich keine wirkliche Alternative zu Mailcow (außer alles selbst zu bauen, was mangels Wissen im Mail-Bereich schwierig wäre)... oder kennt ihr eine Alternative?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Ich brauche prinizipiell nur nen einfachen Mailserver mit Verwaltungsoberfläche für User und Co. + Spamfilter (wobei, da tuts im Endeffekt sicher auch Proxmox Mailgateway).

    Dann ist die Kuh vielleicht etwas Overkill für dich..

    Crap finde ich sie nicht. Bei mir läuft Sie ohne Probleme (auf dem Server ist auch nichts anderes..)


    Aber eine richtige Alternative kann ich dir leider nicht nennen.

    Vielleicht IRedMail. Aber da musst du in der kostenlosen Version die Updates selbst durchführen und das ist echt nervig.

    Meine (Netcup) Produkte: S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • außer alles selbst zu bauen

    Mir scheint, du hast mittlerweile mehr Zeit in das Konfigurieren von Mailcow gesteckt, als das 'sich Einlesen und Selberbauen' gekostet hätte ;)

    Wenn man das Prinzip von Mailservern verstanden hat und welche Teile wie miteinander kommunizieren, ist das alles kein Hexenwerk. Kannst ja hier mal anfangen, sehr schön erklärt: https://thomas-leister.de/mailserver-debian-stretch/

    Vielleicht aktualisiert Thomas das ja noch für Debian 10 ;) Habe beim schnellen überfliegen aber nichts gefunden, was unter Buster Probleme machen würde. Die eingesetzten Ciphersuites kann man bei Bedarf hier abgleichen ob das noch aktuell ist: https://ssl-config.mozilla.org/

  • Evtl. kloppe ich da mal selber etwas zusammen.

    deb, RPM, docker oder custom?

    Wow. Das wäre geil!

    deb oder custom wären gut... :) Danke schonmal!


    EDIT:

    Mir scheint, du hast mittlerweile mehr Zeit in das Konfigurieren von Mailcow gesteckt, als das 'sich Einlesen und Selberbauen' gekostet hätte

    Jenes... ^^ danke für den Tipp.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Per Default geht docker davon aus, der einzige Dienst auf dem Host zu sein und übernimmt daher auch das iptables Management. Will man das nicht, kann man das ganz einfach in der daemon config ausschalten.


    Dann muss man aber die Port forwards die docker vorher selbst angelegt hat manuell machen.


    Imho sollte man docker auf einen separaten Host installieren und wenn man eigene ipdtables braucht, diese nach docker ausführen und nicht vorher oder dazwischen.


    Man installiert ja schließlich auf nem Host auf dem proxmox ve läuft auch keinen lamp stack.

  • Imho sollte man docker auf einen separaten Host installieren und wenn man eigene ipdtables braucht, diese nach docker ausführen und nicht vorher oder dazwischen.

    Die Frage ist aber dann die - kann ich mich dann darauf verlassen, dass Docker das auch ordentlich macht und mein Server dann nicht so total ungeschützt im Netz steht?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Ich würde an dieser Stelle einfach einen "Firewall-Helper" empfehlen, der sich mit Docker verträgt z.B. Firewalld. Habe damit bisher immer sehr gute Erfahrungen gemacht. Damit lässt sich problemlos Docker auf einem Host betreiben und gleichzeitig mit Firewalld die iptables Regeln verwalten (diejenigen, die sich nicht auf Docker beziehen).

  • mailcow wollte ich auch Mal Einsätzen, aber als es docker only wurde, hab ich es von der Liste als erst zunehmende Software gestrichen.


    sonst wegen docker und iptables, kann man iptables per systemd anlegen und für docker dieses als Abhängigkeit setzen.

  • Ich habe kürzlich meine Mailcow-Instanz auf einen neuen Root-Server migriert. Der Umzug war lächerlich einfach und wirklich eine Sache von Sekunden: Nachdem der neue Host mittels Ansible grundlegend eingerichtet war (inkl. Docker-Daemon), zwei Verzeichnisse per rsync übertragen und anschließend die Container gestartet. Alles war da und funktionierte wie gewohnt.


    Ich verstehe den ganzen Rant über Docker nicht. Ich glaube das Problem von Docker ist, dass es zu einfach ist. Um damit produktive Dienste zu betreiben sollte man schon ein wenig über die Technologie wissen, notwendig ist das aber nicht, weil die Einrichtung von Applikationen so simpel ist. Und wenns dann nach einiger Zeit knallt ist natürlich Docker schuld.

  • Warum Docker doof ist liegt primär an schlampigen Maintainern. Du packst dir da so ne Art fertige Blackbox auf deinen Server die dir irgendwas bereitstellt und wo du nicht weißt, wie sie das macht. Du weißt nicht, ob die Software sicher konfiguriert ist und oftmals wird das ganze stiefmütterlich gepflegt und geupdated.


    Für Leute die sich keine Gedanken machen ist das gut - für den Normalo Admin eher nicht so geil.

    Ich habe zwar nen groben Überblick, was da läuft... aber wohl fühle ich mich dabei nicht, weil ich die Details dazu nicht so witklich kenne und nur umständlich herausfinden kann.


    Dann die Netzwerk und Firewall Geschichte - ich blicke hier null durch. Erstmal nimmt dir das Ding von Haus aus die komplette Hoheit über deine Firewall weg (maximales Unding!) und baut sie so, wie der Maintainer es für richtig hält.

    Hier steht, ich soll meine persönlichen Regeln in die Docker-User Chain reinhauen - getan. SSH Port ist z.B. immer noch offen. Ehh whaaat?

    Klar kann ich das ändern, dass der die Firewall in Ruhe lässt. Aber die Herren Maintainer schreiben dir aber auch nirgendwo, was da jetzt genau nötig ist bzw. freigeschalten werden muss, damit es geht.


    Ich habe mittlerweile über die letzten paar Jahre mehrfach mit Docker angefangen aber es immer wieder aufgegeben, weil u.A. die Netzwerk und Firewall Geschichte so ein maximaler Brainfuck ist und die fertigen Softwarebundles die man da betreiben kann so intransparent sind, dass ich da ehrlich gesagt auch keine Lust mehr drauf habe.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber