PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ISP-style Email Service with Debian-Woody



Cosmo
13.12.04, 23:32
Hallo,
ich habe mir jetzt mal auf meinen Server (wohlweißlich auf Confixx und Co verzichtend) einen Mailserver entsprechend dieses Tutorial aufgesetzt:

http://workaround.org/articles/ispmail/

Ich denke mal das ich nicht der einzige bin deswegen mal folgende Frage vielleicht hat das Problem schon jemand gelöst:

Postfix muss ja aufgrund seiner chroot beschränkungen via Netzwerk kontakt zu MySQL aufnehmen, weil es nicht auf die mysql.sock zugreifen kann.
Das gefällt mir ehrlich gesagt nicht so richtig.

Eigentlich wollte ich den Port 3306 zu weit wie möglich wieder zuschrauben aber, das scheint nicht zu gehen weil Postfix an eth0 anklopft und sich verhält wie irgendeine Anfrage (Postfix source ist nicht 127.0.0.1 oder etwa localhost so das die Quelle als auswahlkriterium wohl ausfällt)

Hat da jemand noch ein Denkanstoß für mich?

cane
13.12.04, 23:37
Eine Lösung habe ich nicht aber eine Groupware namens Open Xchange Server unter GPL die garantiert ISP-tauglich ist:

http://mirror.open-xchange.org/ox/EN/community/

Vielleicht interessierts Dich ja...

mfg
cane

Cosmo
14.12.04, 09:58
Ne das ist keine Alternative da ich ja keine Groupwarelösung suche
und auch sonst die Installation für mich transparent halten möchte
um entsprechende modifikationen jederzeit vornehmen zu können.

cane
14.12.04, 10:08
Eigentlich wollte ich den Port 3306 zu weit wie möglich wieder zuschrauben aber, das scheint nicht zu gehen weil Postfix an eth0 anklopft und sich verhält wie irgendeine Anfrage (Postfix source ist nicht 127.0.0.1 oder etwa localhost so das die Quelle als auswahlkriterium wohl ausfällt)

Dann ist die Source-IP ja die IP deiner Netzwerkkarte.
Also würde ich per Iptables einfach definieren, dass auf den Port 3306 nur von deiner IP zugegriffen werden darf.

Nutzt Du ein eigenes Firewallscript dann poste es und ich pass es an...

mfg
cane

Cosmo
14.12.04, 10:28
Leider scheint es nicht so zu sein die Idee hatte ich ja auch schon, aber es ist eben nicht die eigene IP die hier die Quelle ist.
Allerdings hab ich hier auch keine anständiges Logfile mit iptables hinbekommen
und beobachte den traffic mit iptraf viellciht ist das auch der falsche Weg.

cane
14.12.04, 10:38
Probier mal 'tcpdump -l -i eth0 -w - dst port 3306' während Du auf die DB zugreifst.

Siehst Du dann die IP?

mfg
cane

Cosmo
14.12.04, 11:15
Danke erstmal für den tip, an tcpdump hatte ich jetzt garnicht gedacht :D
Ich hab das aber schon mit iptraf rausgefunden:

Und hier nun das lustige, obwohl der Verbindungsaufbau über eth0 geht lässt sich der traffic nur auf lo beobachten, ich kann also doch meine eigene IP als zulässige Quelle benutzen, so lässt sich zumindest 3306 von draußen nicht mehr anrufen :)

(Es wird definitiv eth0 mit 3306 angesprochen wie gesagt hätt ich es über 127.0.0.1 gemacht, wäre die Verbindung direkt über die mysql.sock gegangen und da kommt Postfix ja nicht ran)