Назад | Перейти на главную страницу

Используйте Fail2ban, чтобы заблокировать попытки проксированного пароля dovecot

Я много искал по этому поводу, но не могу найти решения.

Самый простой способ объяснить это: у меня был только 1 почтовый сервер, теперь у меня 2. 1-й почтовый сервер принимает только SSL-соединения и пересылает не-SSL (например, 110, 143 и т.д.) на второй сервер (это на месте, потому что клиенты настроили свои электронные письма и работают с записью DNS, указывающей на первый почтовый сервер).

Я хочу использовать Fail2ban на втором сервере для блокировки неудачных попыток входа в систему, но я не могу понять, как это сделать, поскольку Dovecot «видит» IP-адрес только первого сервера.

Я могу включить ведение журнала iptables на сервере 1, но не вижу, как «связать» соединение с неудачной попыткой ввода пароля на сервере 2.

Возможно, более простым решением будет запустить все это на server1 и просто туннелировать pop / pops и imap / imaps на server2 (autossh - простое решение, но, вероятно, есть несколько лучших способов).

Если ты бежишь autossh для поддержания ssh-соединения от server2 к server1:

autossh -M 3319 -4 -R 993:localhost:993 -R 995:localhost:995 -NC server1 -f

Вы можете вставить эту строку /etc/rc.local для быстрого и грязного пути.

  • -M 3319 должен указывать на доступный порт (он также будет использовать 3320). autossh использует его для управления туннелем. (см. справочную страницу autossh)
  • -4 ограничить до ipv4 (см. также страницу руководства)

Если вы инициируете соединение с server1 на server2, тогда -R становится -L (Lокал вместо рэмоция).

Пара возможных решений:

  1. Установите Dovecot на server1 и настройте его для использования рефералы входа для отправки клиентов на server2. Если ваши клиенты поддерживают рефералов для входа в систему, это может быть самым простым решением. Это будет вносить небольшую задержку при каждом новом входе в систему, поскольку клиент подключается к server1, а затем отправляется на server2.

  2. Установите Dovecot на server1 и настройте его на прокси соединение на server2. Вики Dovecot перечисляет два метода прокси:

    • Отправьте пароль на server2. Я предполагаю, что это может работать, пока вы можете настроить Dovecot на server2 для регистрации IP-адреса клиента из прокси-соединения, чтобы Fail2ban мог его использовать.

    • Выполните аутентификацию на server1. Затем вы можете настроить Fail2ban на server1. Недостатком является то, что тогда вам придется войти на server2 с мастер-паролем.