Trusted Network einschränken

[LBL]

Ich versuche das Trusted Network einzuschränken. Im Normalfall sind ja alle Host im lokalen Subnet "trusted".
Aus dem lokalen Subnet soll jedoch kein Host "trusted" sein. Ich möchte lediglich einem Host (nicht aus dem lokalen Subnet) Zugriff gestatten.
Sprich, wie kann ich verhindern, dass dem lokalen Subnet automatisch vertraut wird?

 

[Stoiko Ivanov]

Dafür müsste das template für die '/etc/postfix/main.cf' von postfix angepasst werden, da PMG das lokale Netzwerk automatisch mitaufnimmt.
Template Adaptierungen sind recht gut in der Referenz Dokumentation beschrieben: https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_service_configuration_templates
(das paketierte template ist unter '/var/lib/pmg/templates/main.cf.in' und muss nach '/etc/' kopiert werden).

Hoffe das hilft!

 

[LBL]

Danke für die schnelle Antwort. Das werde ich mir in einer ruhigen Minute mal anschauen.
Hört sich aber schlüssig an und wird schon funktionieren ;-)

 

[toj79]

Hi,
ein etwas anderer Ansatz könnte sein, mit einer lokalen FW (bspw. shorewall) auf dem PMG die Zugriffe auf die einzelne IP für TCP 25 einzugrenzen. Dann bleibt beim template soweit alles beim Standard. Kommt aber drauf an, welches Thema Dir in einer "ruhigen Minute" besser von der Hand geht.

Gruß, TOJ

 

[Thorsten_]

Dafür müsste das template für die '/etc/postfix/main.cf' von postfix angepasst werden, da PMG das lokale Netzwerk automatisch mitaufnimmt.
Template Adaptierungen sind recht gut in der Referenz Dokumentation beschrieben: https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_service_configuration_templates
(das paketierte template ist unter '/var/lib/pmg/templates/main.cf.in' und muss nach '/etc/' kopiert werden).

Hoffe das hilft!

Ich habe mir die Doku zu dem Thema mal angeschaut, aber mir ist nicht ganz klar, was genau editiert und wohin kopiert werden muss, damit das lokale Subnet nicht automatisch erlaubt ist und nach einem Update des PMG auch so bleibt.

Das Template '/var/lib/pmg/templates/main.cf.in' verweist unter "mynetworks" auf "mynetworks = [% postfix.mynetworks %]".
Muss ich dann die Datei '/etc/postfix/main.cf' direkt editieren und das automatisch hinzugefügte lokale Subnet löschen?


Gruß

Thorsten

 

[heutger]

Ich habe mir die Doku zu dem Thema mal angeschaut, aber mir ist nicht ganz klar, was genau editiert und wohin kopiert werden muss, damit das lokale Subnet nicht automatisch erlaubt ist und nach einem Update des PMG auch so bleibt.

Das Template '/var/lib/pmg/templates/main.cf.in' verweist unter "mynetworks" auf "mynetworks = [% postfix.mynetworks %]".
Muss ich dann die Datei '/etc/postfix/main.cf' direkt editieren und das automatisch hinzugefügte lokale Subnet löschen?


Gruß

Thorsten

Bitte Handbuch lesen, da ist das schon ordentlich beschrieben und hier im Forum auch häufiger:

Die Templates, die man anpassen möchte, müssen von /var/lib/pmt/templates nach /etc/pmg/templates kopiert werden, im Falle der main.cf ist es die main.cf.in. Ein editieren der /etc/postfix/main.cf ist natürlich auch immer möglich, jedoch jedwede Veränderungen in der GUI oder bei jedwedem Update der /var/lib/pmg/templates/main.cf.in ohne eigene /etc/pmg/templates/main.cf.in-Kopie, die man angepasst hat, wird bewirken, daß die /etc/postfix/main.cf neu geschrieben wird und damit die Änderungen ebenfalls überschrieben werden und weg sind. Wenn man selbst Anpassungen vornimmt, ist man leider aber auch gezwungen, selbst auch regelmäßig Änderungen an der /var/lib/pmg/templates/main.cf.in zu prüfen und diese in die eigene Kopie ggf. zu übernehmen, ein diff mit Updates wie bei bspw. Debian-Paketupdates, gibt es leider (noch) nicht.

 

[Thorsten_]

Habe ich ja getan. War nur schon irritiert, dass es den Ordner /etc/pmg/templates/ in der Standardinstallation gar nicht gibt.
Der muss dann wohl erst von Hand angelegt werden.


Also zum Verständnis, wenn man dauerhaft das lokale Subnetz nicht als Trusted Network haben möchte, sondern nur z.B. einen Host 10.10.0.1:

- Ordner /etc/pmg/templates/ anlegen
- /var/lib/pmg/templates/main.cf.in nach /etc/pmg/templates/main.cf.in kopieren
- In der kopierten main.cf.in unter Punkt "mynetworks" dann "[% postfix.mynetworks %]" durch z.B. "127.0.0.0/8 [::1]/128 10.10.0.1/32" ersetzen, wenn nur der Host "10.10.0.1" E-Mails versenden können soll. Der 127er Bereich ist wahrscheinlich systembedingt notwendig, oder?
- Nach Updates selbständig das Template /var/lib/pmg/templates/main.cf.in auf Änderungen prüfen und gegebenenfalls das selbst angepasste Template in /etc/pmg/templates/main.cf.in dann ergänzen.


So korrekt?

 

[Stoiko Ivanov]

Also zum Verständnis, wenn man dauerhaft das lokale Subnetz nicht als Trusted Network haben möchte, sondern nur z.B. einen Host 10.10.0.1:

- Ordner /etc/pmg/templates/ anlegen
- /var/lib/pmg/templates/main.cf.in nach /etc/pmg/templates/main.cf.in kopieren
- In der kopierten main.cf.in unter Punkt "mynetworks" dann "[% postfix.mynetworks %]" durch z.B. "127.0.0.0/8 [::1]/128 10.10.0.1/32" ersetzen, wenn nur der Host "10.10.0.1" E-Mails versenden können soll. Der 127er Bereich ist wahrscheinlich systembedingt notwendig, oder?
- Nach Updates selbständig das Template /var/lib/pmg/templates/main.cf.in auf Änderungen prüfen und gegebenenfalls das selbst angepasste Template in /etc/pmg/templates/main.cf.in dann ergänzen.

Sollte soweit so funktionieren. (und ja 127.0.0.0/8 (localhost) ist systembedingt notwendig).

Ich hoffe das hilft!

 

[heutger]

Korrekt, und vielleicht gibt es seitens Proxmox für zukünftige Updates die Möglichkeit, daß man ähnlich Debian-Updates "diffs" in deren main.cf.in templates angezeigt bekommt und wählen kann, was damit passieren soll, bspw. einen eigenen merger anstoßen kann.

 

[Thorsten_]

Ja, hat geholfen. Vielen Dank!
Am besten wär natürlich, das auch über die GUI einstellen zu können.

 

[heutger]

Ja, hat geholfen. Vielen Dank!
Am besten wär natürlich, das auch über die GUI einstellen zu können.

Es gibt einige Feature Requests, wir sind gespannt auf das nächste neue Feature Release.