Vserver - Interface Einrichtung verhindert eMail-Relaying

Savar · Beitrag von **Savar** » 29.06.2005 16:33:06

Hi zusammen,

also erstmal die Ausgangssituation:

Ich habe einen Vserver der an und für sich auch läuft. Seine Konfig liegt wie üblich unterhalb von /etc/vserver/VSERVERNAME/* und hat für dessen "interface"

/etc/vservers/workingTNE/interfaces/dev :

Code: Alles auswählen

eth0

/etc/vservers/workingTNE/interfaces/0/ip :

Code: Alles auswählen

192.168.1.100

/etc/vservers/workingTNE/interfaces/0/prefix :

Code: Alles auswählen

mein Rechner an sich sieht so aus:

Code: Alles auswählen

       eth1 (WLAN)
            192.0.101.100

       eth0 (LAN Schnittstelle, die eigentlich nicht benutzt wird)
            hat eigentlich keine IP, nur wenn der Vserver gestartet wird, erhält sie die IP
            192.168.1.100

Nun sehe ich mit "ifconfig" auf dem Host leider auch "eth0" und die IP Adresse, sodass ich von meinem Mailserver (Postfix) auf dem Host, nicht den Mailserver im Vserver (auch Postfix) erreichen kann, da dieser erkennt, das ihm ja die IP gehört (tut sie eigentlich nicht, da er auf die 192.0.101.100 gebunden ist, aber er merkt halt das es der gleiche Rechner ist).

Jetzt ist die Frage:

1. Wie kann ich ein Alias Interface verwenden (da ich eigentlich nicht eth0 sondern vielleicht eth0:1 benutzen wollen würde)
2. Kann man irgendwie verhindern, das der Host die gleiche IP Adresse sieht wie der Client oder muss ich einen anderen MTA nutzen?

Gruß Savar

meandtheshell · Beitrag von **meandtheshell** » 30.06.2005 14:18:22

hallo savar,

das was du machst ist eigentlich das du die meisten Vorteile weshalb man einen Vserver verwendet mit deiem Konzept über bord wirfst ... darum hast du auch das problem das du mehr oder weniger gezwungen bist ein workaround zu machen ...

also:

1) das wie man virtual interfaces einrichtet hab ich dir gesagt - siehe link in der PN
2) normal läuft es so - man hat ein host system mit mehreren Vservern - auf dem host läuft gar nichts - kein dienst und nichts - alle dienste oder sonst was schiebt man in die Vserver hinein - dann hat man das problem auch nicht das kollisionen in bezug auf IP adressen usw. auftreten UND was noch viel wichtiger ist die Vorteile (sicherheit, getrennte contexte usw.) bleiben erhalten

ich habe am anfang mit Vserver ganz das selbe gemacht - da hatte ich eine maschine mit allen lustigen diensten drauf - dann neuen kernel gebaut - auf das system losgelassen, dann 3 Vserver eingerichtet usw. - hat auch alles funktioniert - habe eine DMZ auf einer maschine aufgebaut - nach kurzer zeit aber alles zu 100% neu aufgebaut und das host system komplett frei von allen diensten gelassen, da es unsinnig ist und auch nur probleme macht wenn man da mischen anfängt (also ein paar dinge am host system - die anderen in einem/mehreren Vservern) - ich hatte keine probleme mit einem mailsystem aber ich hatte eine bridge im Vserver laufen und einen apachen am host ---> probleme!

anschließend wo ich alles in die Vserver geschoben hatte und zwischen ihnen daten getauscht wurden war das system leicht überschaubar, gut zu pflegen, absolut stabil und es funktionierten alle dinge die vorher probleme machten

du hattest die doku angesprochen - ja die könnte insofern einfacher gehalten werden, dass leichter ersichtlich ist was wie wo steht und was wichtig ist usw. - das braucht zeit bis man sich da drüber sieht - keine angst der meandtheshell hat auch einmal ca. 1-2 monate nur gelesen und probiert bis sich erste "vernünftige" ergebnisse sehen haben lassen ...

gruesse markus

Savar · Beitrag von **Savar** » 30.06.2005 14:28:15

na gut dann muss ich meinen Host also wirklich komplett frei Räumen auch wenn ich das nicht wollte..

1) das wie man virtual interfaces einrichtet hab ich dir gesagt - siehe link in der PN

wie gesagt.. das was du mir geschrieben hast, ist für die alte Vserver Konfiguration gültig als das meiste in einer einzigen Konfig gemacht wurde.. davon finde ich auch superviele Howtos (speziell für woody aber auch schon für sarge) aber die bringen mich nicht weiter, da ich die neuere Version nutze und das alles anders aufgebaut ist..

das einzige was ich dazu fand ist diese Seite (vorsicht.. Augenkrebs gefahr.. ich hoffe ihr könnt CSS Sheets auswählen sonst viel Spass) http://www.nongnu.org/util-vserver/doc/ ... ation.html und das ist eigentlich nur die Verzeichnisstruktur mit ein bisschen Erklärung dazu.. aber wie ich da virtuelle Interface einrichte steht da nicht.. auch meine "logischen" Test sind im Sande verlaufen..

meandtheshell · Beitrag von **meandtheshell** » 30.06.2005 14:40:46

Savar hat geschrieben:na gut dann muss ich meinen Host also wirklich komplett frei Räumen auch wenn ich das nicht wollte..

meine begeisterung hielt sich auch in grenzen

1) das wie man virtual interfaces einrichtet hab ich dir gesagt - siehe link in der PN
wie gesagt.. das was du mir geschrieben hast, ist für die alte Vserver Konfiguration gültig als das meiste in einer einzigen Konfig gemacht wurde.. davon finde ich auch superviele Howtos (speziell für woody aber auch schon für sarge) aber die bringen mich nicht weiter, da ich die neuere Version nutze und das alles anders aufgebaut ist..

ja schon - ich habe ja aber gesagt nur punkt 3 - also synatx - den rest vergiss

das einzige was ich dazu fand ist diese Seite (vorsicht.. Augenkrebs gefahr.. ich hoffe ihr könnt CSS Sheets auswählen sonst viel Spass) http://www.nongnu.org/util-vserver/doc/ ... ation.html

ja die seite ist unglaublich

- ich hab mir das einfach per copy paste in ein latex script rein kopiert und ein pdf gemacht damit das kopfeh aufhört

also haben wir zwei spezialisten wieder einmal aneinader vorbei geredet so wie es aussieht - du möchtest also ein komplettes konfig beispiel haben nicht nur was wo die syntax erklärt steht - werde heute oder morgen wenn ich zeit habe mal in der docu graben - gesehen hab ich das schon einmal - aber bei der docu (da muss übersicht her) findet man ja die sachen so leicht (ironisch)

auf jeden fall eine geschichte die du mit dem Vserver Namen in /etc/network/interfaces einträgst NACHDEM die konfig der IP Adressen gemacht worden ist - (zur sicherheit: dafür suchst du docu oder?)

gruesse markus

edit:
weist du was - da sollten wir im wiki dann vielleicht kurz ein howto schreiben - da sparen sich andere leute dann locker eine woche suchen usw.

Savar · Beitrag von **Savar** » 30.06.2005 14:58:08

meandtheshell hat geschrieben: edit:
weist du was - da sollten wir im wiki dann vielleicht kurz ein howto schreiben - da sparen sich andere leute dann locker eine woche suchen usw.

jo, wenn das mal klappt

aber nur zum Verständnis.. was du mir an Syntax gegeben hattest, gehörte nur in diese Config Datei die ich nicht mehr habe.. da hast du dann ja richtig

Code: Alles auswählen

IPROOT=XXX.XXX.XXX.XXX

eingetragen.. aber bei ich hab ja jetzt diese einzelnen Dateien wo nur noch Werte (also "XXX.XXX.XXX.XXX") reinkommen und nicht mehr die Variablen Namen "IPROOT".. und das Skript was die Variablen "IPROOT" und ähnliches auswertete liegt bei mir unter /usr/lib/util-vserver/legacy und wird nicht mehr verwendet (wie schon "legacy" sagt)..

btw: ich weiß immer noch nicht genau was du in der /etc/network/interfaces für die Vserver einträgst.. die virtuellen Device? Hab ich mal versucht und dann versucht die entsprechende /etc/vserver/VSERVERNAME/interfaces/dev einzutragen.. aber er mag die nicht..