25675
Aug 19, 2016
1943
0
0
Best Practice: Steuerung iptables-firewall auf physikalischem Host durch virtuelle Maschine
Hallo zusammen,
folgendes Szenario:
Ein physikalischer Host (host.example.com) unter ubuntu hat mehrere virtuelle Maschinen (lxc), u.a. ein Mailserver (mail.example.com).
Auf host.example.com läuft eine iptables-Firewall, die zu mail.example.com nur folgende Ports "durchlässt": SMTP, Submission und IMAPS.
Ich möchte auch grundsätzlich sowenig Ports wie möglich öffnen, z.B. SSH geht nur über VPN.
Jetzt möchte ich aber, das per IMAP angemeldete Benutzer auch auf SIEVE zugreifen können. Wenn alles auf host.example.com laufen würde,
könnte man das recht einfach mit fail2ban erschlagen.
Nach meiner Auffassung habe ich 2,5 Möglichkeiten:
Hoffend, das diese Frage nicht zum Freitags-Thema wird
Danke
Andreas
folgendes Szenario:
Ein physikalischer Host (host.example.com) unter ubuntu hat mehrere virtuelle Maschinen (lxc), u.a. ein Mailserver (mail.example.com).
Auf host.example.com läuft eine iptables-Firewall, die zu mail.example.com nur folgende Ports "durchlässt": SMTP, Submission und IMAPS.
Ich möchte auch grundsätzlich sowenig Ports wie möglich öffnen, z.B. SSH geht nur über VPN.
Jetzt möchte ich aber, das per IMAP angemeldete Benutzer auch auf SIEVE zugreifen können. Wenn alles auf host.example.com laufen würde,
könnte man das recht einfach mit fail2ban erschlagen.
Nach meiner Auffassung habe ich 2,5 Möglichkeiten:
- fail2ban auf host.example.com fernsteuern (z.B. ssh oder xmpp?),
- SIEVE-Port auf host.example.com freigeben, firewall auf mail.example.com installieren,
- Das entsprechende syslog von mail.example.com per rsyslog nach host.example.com schicken.
Hoffend, das diese Frage nicht zum Freitags-Thema wird
Danke
Andreas
Please also mark the comments that contributed to the solution of the article
Content-Key: 313093
Url: https://administrator.de/contentid/313093
Printed on: April 26, 2024 at 05:04 o'clock