Skocz do zawartości
Fizyda

LFD konfiguracja powiadomien

Polecane posty

Witam, potrzebuję małej podpowiedzi jak skonfigurować wysyłkę powiadomień (maili) dla LFD.

 

Mój system to Debian Jessie, z tego co zauważyłem nie posiada on domyślnie zainstalowanego sendmaila, przez co daemon LFD pada mi w momencie próby wysyłania powiadomienia.

Nie wiem czy instalować na każdym serwerze sendmaila (albo postfixa bo sendmail jest dość stary i chyba dziurawy), czy może lepiej skonfigurować LFD by używał zewnętrznego serwera SMPT którego posiadam na jednym z serwerów.

 

Bez względu na rozwiązanie chcę by maile ze wszystkich serwerów i tak szły na skrzynkę mailową na moim SMTP. Dlatego też zastanawiałem się czy nie konfigurować LFD do używania mojego SMPT i dodać je do mynetworks.

 

Problem z mynetworks polega na tym, że serwery te to kontenery LXC, w teorii mogą być w jednej podsieci i ze sobą się komunikować w praktyce nie mogę tego skonfigurować.

 

Nie wiem czy teraz na każdym serwerze konfigurować postfixa z przekazywaniem maili na matkę i na matce postfix z przekierowywaniem maili na smtp, czy może jakiś inaczej to zrobić?

 

Konfiguracja wygląda w następujący sposób:

LXC-s1

IP: 192.168.1.2;

Gateway: 192.168.1.1;

chce ustawić:

LFD-mailto: admin@domena.pl

 

LXC-s2

SMTP: domena.pl

IP: 192.168.2.2;

Gateway: 192.168.2.1;

LFD-mailto: def/root

 

LXC-s3

IP: 192.168.3.2;

Gateway: 192.168.3.1;

chcę ustawić:

LFD-mailto: admin@domena.pl

 

W takiej konfiguracji co dziwne działają pingi np z S1 do 192.168.2.1 (bridge na matce). Nawet jeśli ustawię S1 i S2 by działały w tej samej pod sieci i na tym samym bridge to nie mogą się wzajemnie spingować. Nie wiem w czym tkwi problem.

 

Kontenery są w różnych podsieciach ponieważ początkowo nie miały one się ze sobą komunikować, aż do czasu jak nie ogarnąłem jak fajny jest lfd :P.

 

Myślałem też nad ustawieniem na S1 i S3 serwera SMTP po publicznym adresie IP dla mojego SMTP, ale czy to ma sens? No i jak zezwolić tym hostom w takim wypadku wysyłać maile bez uwierzytelnienia SASL.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Nie masz jakiegoś domyślnego firewalla na matce? Sprawdzasz tylko pingiem czy może np. próbowałeś się dostać między nimi na dany port jakiejś tam usługi?

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

I ten firewall nie wycina Ci czasem pinga między kontenerami?

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Firewall to csf ICMP_IN/OUT = 1. Matka bez problemu pinguje kontenery, kontenery matkę, ale już nie inne kontenery. Nawet w konfiguracji gdzie każy kontener ma swojego bridga i swoją podsieć kontenery są w stanie spingować ip bridga na matce który ma adres ip z innej podsieci.

 

Ogólnie ip Gateway: 192.168.1.1 to adres ip bridge na matce.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@mariaczi dzięki wielkie za zaangażowanie i pomoc w próbie naprawienia czegoś co działać musi, ale jak zwykle okazało się, że to ja jestem kretynem :D.

Okazało się, że nie miałem ustawionej maski na kontenerach lxc ... głupi ja .. ale co zrobić :P.

 

Jeszcze raz dzięki za chęć pomocy, nie zawsze udaje się trafić na kogoś pomocnego ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Inną przyczyna mogłyby być takie same adresy mac na kontenerach ;) W kolejnym kroku miałem dopytać dokładnie o konfigurację sieci na matce i kontenerach :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Inną przyczyna mogłyby być takie same adresy mac na kontenerach ;) W kolejnym kroku miałem dopytać dokładnie o konfigurację sieci na matce i kontenerach :)

 

Chyba nic by to nie dało bo odpowiedziałbym że wszystko jest ok ponieważ wszystko działa. Usługi dostępne z zewnątrz matka też ma do nich dostęp, do niczego się nie można przyczepić.

 

Brak maski to ciekawa historia, dobrze że sobie przypomniałem że ją usunąłem jak konfigurowałem kontenery na produkcyjnym serwerze, inaczej nigdy bym do tego nie doszedł.

Usunąłem je bo miałem je usunięte na testowym serwerze, a tam były usunięte w momencie jak ustawiałem w cfg kontenera by korzystał z interfejsu matki, w tedy ustawiłem statyczny adres ip bez maski, a gdy przełączyłem się znów na bridge, nie dopisałem go. Na początku każdy kontener przełączałem na fizyczny interfejs bo nie działał na nich internet, dopiero potem kapnąłem się, że problem jest z dnsami które nie są ustawione na nowych kontenerach i wystarczy edytować resolv.conf i dodać dnsy z matki by działał internet na kontenerach.

 

Normalnie człowiek jest głupi przez całe życie, a przynajmniej mnie to czeka :P.

 

PS. Idę prze konfigurować produkcyjny i jak coś nie będzie działało to jeszcze tutaj wrócę :D

Edytowano przez Fizyda (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jakoś poszło i jakoś działa, niestety wydaje mi się że to przez błąd w konfiguracji restrykcji dla postfixa.

 

Przykład jak ustawiłem to na matce:

 

LF_ALERT_TO = root@s2.mojadres.pl - jest to alias na virtualne konto
LF_ALERT_FROM =

LF_ALERT_SMTP = 192.168.2.2

 

Przy takim ustawieniu zauważyłem że matka łączy się z smtp na s2 przez zewnętrzne ip z którego porty 25, 587 są przekierowane na s2. Pytanie dlaczego się tak dzieje. Po małych testach doszedłem do wniosku że dzieje się tak w momencie gdy w csf.redirect mam ustawione przekierowania w analogiczny sposób:

 

publiczneIP|20|192.168.121.2|20|tcp

 

dla adresu ip S2, nie ma znaczenia jakie porty przekieruję, matka łączy się w tedy z s2 przez to publiczne ip, pomimo że robię telnet 192.168.2.2 25. Jest to dla mnie co najmniej bezsensu.

 

Niemniej dzięki temu zauważyłem że po podłączeniu się przez telnet (z zewnątrz - sprawdzone z innej maszyny/ip) mogę wysyłać maile z nieistniejących kont na konta które istnieją i są obsługiwane przez mój serwer SMTP. Nie wiem, może się mylę, ale moim zdaniem jest to dziura. Oczywiście maile takie można wysyłać bez uwierzytelniania.

Powiem więcej byłem w stanie wysłać na na swój adres, w swojej domenie maila jako z konta na gmailu. Wszystko to bez jakiejkolwiek autoryzacji.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×