{"id":1276,"date":"2012-08-01T22:46:49","date_gmt":"2012-08-01T20:46:49","guid":{"rendered":"http:\/\/blog.benny-baumann.de\/?p=1276"},"modified":"2012-08-01T22:46:49","modified_gmt":"2012-08-01T20:46:49","slug":"absender-adressen-erzwingen","status":"publish","type":"post","link":"https:\/\/blog.benny-baumann.de\/?p=1276","title":{"rendered":"Absender-Adressen erzwingen"},"content":{"rendered":"

Hat man einen Server mit mehreren IP-Adressen<\/a>, gibt es gewisse Situationen, in denen man ausgehende Verbindungen gezielt routen m\u00f6chte. Hat man da n\u00e4mlich einen Mail-Server am Laufen, der auf allen Adressen annehmen, aber nur unter einer bestimmten Adresse versenden soll, artet es leicht in Gefrickel aus. Aber es geht einfacher.<\/p>\n

F\u00fcr den Zweck des Routings gibt es zwar zum einen mit <\/p>\n

ip route<\/pre>\n
ein m\u00e4chtiges Werkzeug, was einem das Routing erfolgreich so einrichten kann, dass versucht wird, bestimmte Adressbereiche \u00fcber spezifische Interfaces anzusprechen, aber dies ist in seiner brauchbaren Form sehr darauf begrenzt, dass man seine Ziele kennt und daher nicht einfach zu brauchen.<\/p>\n
Daneben gibt es mit<\/p>\n
ip rule<\/pre>\n
aber auch einen m\u00e4chtigen Zwilling, mit dem man die im Kernel definierten Source Routing Rules \u00fcberschreiben kann. Dies findet zwar haupts\u00e4chlich in Mesh-Netzwerken mit OLSR<\/a> eine Anwendung, w\u00e4re aber prinzipiell auch f\u00fcr mein Problem eine L\u00f6sung, w\u00fcrde es denn auf Port-Ebene arbeiten: Tut es aber leider nicht.<\/p>\n
Also muss man doch etwas anders an die Sache ran. Und witziger Weise k\u00f6nnen Firewalls nicht nur Pakete wegwerfen oder die Lautst\u00e4rke der Namensaufl\u00f6sung<\/a> begrenzen, sondern auch „The Right Thing“ tuen, um die Quelle einer TCP-Verbindung umzuleiten.<\/p>\n
Und wie das bei Linux-Firewalls nun einmal ist, k\u00f6nnen die manchmal mehr, als man nach zwei Stunden Studium des Handbuches \u00fcberblickt. Da geh\u00f6rt das Binden auf eine bestimmte Quell-IP so eher in die Morgen\u00fcbungen der Firewall, wenn der Rauschende Datenstrom des n\u00e4chtlichen Backups nocht nicht ganz \u00fcberstanden ist.<\/p>\n
Aber zur\u00fcck zum Problem: Gegeben sei ein beliebiger Mailserver aus der Kategorie „Why Broken Software Works<\/a>„, sowie ein Server mit mehreren IPv4-Adressen, von denen nur eine zum Versenden von Email verwendet werden soll.<\/p>\n
Und weil das so einfach ist, kann das sogar jeder Plaste-Router zu hause. Nunja, er tut es einfach, wenn auch etwas anders: Er NATtet. Denn der Trick ist an sich ganz einfach: Statt direkte Verbindungen nach au\u00dfen umzuschreiben, kann man auch einfach dem Kernel sagen, er soll jede ausgehende Verbindung mit einer Source-NAT versehen, die die zu verwendende Adresse enth\u00e4lt. Nun w\u00e4re das alleine sicherlich keinen Blog-Post wert, w\u00e4re da nicht die Sache mit dem: Nur der Mailserver. Das Interessante hieran ist n\u00e4mlich, dass f\u00fcr den Mail-Server ausgehend nur ganz wenige Ports \u00fcberhaupt von Bedeutung sind:<\/p>\n