Posts by ThiSchwa

    Ich hab meine Drop-Rules wie folgt eingeflegt:
    iptables -A DOCKER-USER -s 212.70.x.x/32 -j DROP


    Trotzdem erscheint im Log:

    netfilter-mailcow_1 | 212.70.x.x matched rule id 1 (warning: unknown[212.70.x.x ]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)

    netfilter-mailcow_1 | 1 more attempts in the next 600 seconds until 212.70.x.x/32 is banned


    Wo hakt es? Versteh ich was falsch?

    Ausgangssituation: Auf einem Rootserver (ubuntu 20.04) läuft u.a. die dockerized-mailcow, ein Apache mit unterschiedl. Diensten wie Jitsi, Nextcloud und einigen Webseiten.

    Ich möchte nun einige IP-Netze systemweit Sperren, von denen nur Angriffe gefahren werden.


    Versändnisfrage: Wie muss ich die DROP-Rules definieren, dass sie sowohl innerhalb des mailcow-Containers als auch ausserhalb greifen?

    Normale Drop-Rules greifen wohl nicht innerhalb vom Mallcow-Container. Dies ist nachvollziehbar über die netfilter-Logs von mailcow.


    Vermute ich richtig, dass ich die Drop-Rules sowohl in die Chains INPUT und MALCOW legen muss?

    Falls ja, wie lässt sich das am besten in den Boot-Prozess integrieren?

    Aktuell nutze ich hierfür den Mechanismus von netfilter-persistent.


    Hat jemand Tipps?

    Es gibt wohl in den Debian mailutils die Möglichkeit, explizit die Maildomain anzugeben:

    https://askubuntu.com/a/1083644

    Code: /etc/mailutils.conf
    1. address {
    2. email-domain somedomain.com;
    3. };

    Standardmäßig setzt sich "mail" sonst die Kennung wie folgt zusammen:

    - Falls vollständige Mailadresse angegeben ist: Nehme diese

    - Falls nur der Lokalteil angegeben ist: Nehme diesen und vervollständige die Adresse mit der Ausgabe von hostname -f


    1000 Dank, die Option für mailutils war es!

    Jetzt bekomme ich alle Mails an 'root' korrekt weitergeleitet. Eine Änderung des Hostnamens wäre wegen mailcow nicht möglich gewesen.


    Wird das Ganze tatsächlich nur zum relayen benötigt, ist der nullserver einfacher aufgesetzt!

    Danke daniel_h,


    das hatte ich schon auch so umgesetzt, aber leider Fehlanzeige.

    Habe mittlerweile zu nullmailer gewechselt, da sich dieser etwas genauer konfigurieren läßt. Aber das selbe.

    In crons, in denen MAIL_TO gesetzt wird, klappt da auch wunderbar. Auch auf Kommadozeile etwa echo "Message Body" | mail -s "Message Subject" mail@example.com klappt das.
    Nur bei folgendem nicht: echo "Message Body" | mail -s "Message Subject" root

    Sobald eine Mail direkt an root geht, ist die TO-Adresse root@mail.example.info gemäß dem Hostname und nicht zustellbar.


    Die FROM-Adresse passt.


    Hab das Gefühl, ich üerseh was Essentielles ...

    Hallo,


    ich habe unter Ubuntu 20.04 die maîlcow erfolgreich am laufen. Der Hostname ist wegen mailcow mail.example.info.

    Da ich auf dem Server noch Anderes laufen habe, will ich OpenSmtpD als eine Art Mailproxy (relay-only) einsetzen, der ausschließlich die lokalen Emails an meinen Mailserver weiterleitet.


    Der Verbindungsaufbau und die Authentfizierung klappen wunderbar nur from-mail ist leider root@mail.example.info ansatt root@example.info, weshalb die Zustellung nicht klappt (Sender address rejected: not owned by user ...).

    Wie kann ich die mail-from für root anpassen?


    Erfolglos ausprobiert habe ich Anpassungen in /etc/mailname, /etc/mailrc

    Weiß jemand Rat?

    Hab gerade einen alten ungenutzten Foren-Account entdeckt habe, den ich initial angelegt, aber nie benutzt habe.

    Weiß jemand, wie man den wieder löschen kann? Ich finde da nichts...


    Merci im voraus

    Thilo

    Hallo voja , hallo eripek ,


    ich wollte Feedback geben, wo letztendlich das Problem war und wie ich es gelöst hab. Evtl. hilft es auch anderen Forennutzern.


    Problem:

    Wenn OpenVPN und Apache an der selben IP hängen wird ohne spezielles Routing der Traffic zu dieser IP nicht durch das VPN geleitet, sondern normal über den Internetprovider.


    Lösung:

    Ich hab die Host-Route nicht hinbekommen. Da man ja ausreichend IPv6-Adressen hat, hab ich OpenVPN an eine solche gebunden.

    Firewall-technisch ging das POUSTROUTING nur mit SNAT. Anders war bei mir die öffentliche IP immer die primäre und nicht die zugewiesene.

    Warum ist das eine SNAT und keine MASQUERADE NAT Regel?

    Stimmt, müsste MASQUERADE sein, Fehler bleibt der selbe.

    Was ich ernsthaft nicht auf die Reihe bekomme ist.

    • Tests auf die öffentliche IP mit IP-Leaks oder whatsmyip passen
    • Der Traffic wird auch korrekt geroutet.
    • nur im apache log stimmt das Ganze nicht


    Wenn die öffentliche IP im Log steht, dann liegt es an OpenVPN oder am DNS:

    1. Machst Du Split-DNS oder erhält der Client immer die öffentliche IP des Hostnames Deines Apachen?

    2. Hast Du kein Split-DNS, das für Anfragen aus dem VPN die VPN-IP des Apachen ausgibt, benötigst Du eine Host-Route, die OpenVPN über das VPN zum Apachen. (push route oder route, eventuell iroute). Diese Variante ist wahrscheinlich die sinnvollste, weil sonst der NamedHost Probleme machen kann.

    Die Clients erhalten immer die öffentliche IP vom Apache.

    Vermute mir fehlt dann wohl die Host-Route. Wie müsste diese denn aussehen?

    Bisher pushe ich nur die internen Routen.


    Kleine Hntergrundinfo: Was Netzwerk und Routing angeht, hab ich noch einige Wissenslücken. Hab mir das alles erst nach und nach angeeignet.


    Großes Dankeschön an Euch beiden

    Mit öffentliche IP ist die Server IP gemeint, oder?


    Wie lautet die NAT Firewall-Regel? Enthält die ein -o mit dem Netzwerkdevice vom Server?

    Ok, irgendwas ist faul. Die öffentliche IP ist nämlich die meines Internetproviders (Router zu Hause) und nicht die meines Servers.

    die NAT-Regel lautet: -A POSTROUTING -s 10.8.0.0/24 -o ens3 -j SNAT --to 188.68.45.xxx

    Und in der VPN-Config steht: push "redirect-gateway def1 bypass-dhcp" Damit sollte der Traffic ja übers vpn gehn ...



    Trotzdem bekomm ich aber bei https://ipleak.net/ die korrekten IPs meines Servers angezeigt!


    Irgendwas fehlt ...

    Hallo Zusammen,


    hat jemand Erfahrung mit Openvpn und shared Port mit Apache?

    Prinzipiell läuft es, wie es soll. Bis auf eine böse Kleinigkeit.


    Ich habe einen VHost, der nur laufen soll, wenn man von einer bestimmten IP aus meinem VPN kommt (Require ip). Im "shared Port"-Betrieb bekomme ich aber trotzdem einen 403 Access forbidden. Nach Stunden Detektivarbeit hab ich sogar den Grund dafür gefunden: Im access.log steht die öffentliche IP und nicht wie erwartet die VPN-IP. Das heißt, im "shared Port"-Betrieb weiß Apache nicht, dass ich vom VPN aus komme.


    Hat irgendwer eine Idee, woran das liegt?


    Für jeden Tipp dankbar,

    Thilo

    Hallo,


    ich bin Docker-Neuling, seit bitte deshalb etwas nachsichtig. :)


    Auf Basis von Ubuntu 20.04 habe ich die mailcow-dockerized installiert. Tests laufen soweit sauber durch, sogar inklusive IPv6.

    Nur beim Boot fährt der Container nicht hoch:

    Starte ich nach dem Boot den Container manuell, fährt er sauber hoch.


    May 11 17:30:29 thischwa containerd[703]: time="2020-05-11T17:30:29.346083865+02:00" level=error msg="Failed to load cni during init, please

    check CRI plugin status before setting up network for pods" error="cni config load failed: no network config found in /etc/cni/net.d: cni p

    lugin not initialized: failed to load cni config"



    Vermutlich fährt der Container zu einem Zeitpunk hoch, an dem das Netzwerk noch nicht vollständig initialisiert ist. Zusätzlich genutzte IPs sind per Netplan konfiguriert.


    Hat Jemand einen Tipp für mich?


    Danke im vorraus

    Thilo

    Zum möglichen Hintergrund: Bei DNS-Einträgen ist die TTL (time to live) zu berücksichtigen. Ein Eintrag wird nie sofort gültig, sondern immer nach Ablauf dieser TTL.

    Bin diesbezüglich durch eine harte Schule gegangen. ;)

    Danke Ihr beiden

    Magst du uns denn mitteilen wie genau die IP aussieht, die du da eingibst? Im Zweifelsfall etwas unkenntlich machen.

    Vielleicht ist da wirklich nur ein gaaanz simpler Fehler drin.


    EDIT: Gibst du vielleicht die Netzwerkmaske im selben Feld an? Die gehört dort nicht rein.

    Wie immer, Alles ganz banal. ich hatte die falsche verkürzte Schreibweise gewählt.

    Hallo Zusammen,


    Ich bin Newbee bei netcup. Evtl. liegt es daran, dass ich wohl nicht geregelt bekomme, einen rDNS-Eintrag für IPv6 vor zu nehmen. Ich bekomme immer "Bitte geben Sie eine gültige IP-Adresse an."

    Habe auf sowohl die komprimierte als auch die normale Schreibweise benutzt.


    Ich habe einen neuen Root-Server.

    Muss ich evtl. IPv6 extra aktivieren? Wenn ja, wo?


    Bin für jeden Hinweis dankbar

    Thilo