Transparent FTP-Proxy – wie Dovecot
Servus,
ich hoffe, ich darf die Liste für meine Frage „missbrauchen“.
Wie haben Dovecot als Proxy installiert. Die Authentifizierung erfolgt
zentral auf dem Proxy, die eigentlichen User-Daten liegen auf den
Backends. Geil.
Ich habe mich schon tot gegoogelt, um eine ähnliche Lösung für FTP zu
finden.
Folgende Features sollten vorhanden sein:
1. SSL/TLS ein- und ausgehend
2. Authentifizierung wenn möglich auf dem Proxy
Außer „delegate“ habe ich mit TLS Unterstützung nichts gefunden. Da gibt
es aber einen kleinen Schönheitsfehler, dass der Routing über den
Usernamen bestimmt wird.
USER user@host
Das bedeutet, dass nach Änderung alle User ihre Clients umstellen müssen.
Habt ihr einen Tipp für mich?
Gruß
Andre
-
24. August 2013
-
Andre
-
13 Antworten
Am 24.08.2013 12:16, schrieb Andre:
> 1. SSL/TLS ein- und ausgehend
> 2. Authentifizierung wenn möglich auf dem Proxy
Aber genau das macht Dovecot doch so im Proxy-Modus.
Ob Du SSL/TLS nach hinten sprechen willst, kannst Du Dir aussuchen, eine
Authentifizierung auf dem Proxy findet statt und wenn Du möchtest,
könntest Du im Backend doch auf die Authentifizierung auch verzichten.
Oder ich hab’s nicht verstanden, dann erkläre bitte nochmal genauer, was
IST und was SOLL ist. Config des IST-Zustandes hilft bekanntlich um
möglichst konkret zu antworten.
Peer
—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin
Moin Peer,
ich glaube, das entscheidende Wort steht im Betreff: FTP(!!)-Proxy
Mit Dovecot ist er ja glücklich 😉
Schönes Wochenende
Sven
Am 24.08.2013 14:19, schrieb Peer Heinlein:
> Aber genau das macht Dovecot doch so im Proxy-Modus. Ob Du SSL/TLS
> nach hinten sprechen willst, kannst Du Dir aussuchen, eine
> Authentifizierung auf dem Proxy findet statt und wenn Du möchtest,
> könntest Du im Backend doch auf die Authentifizierung auch verzichten.
> Oder ich hab’s nicht verstanden, dann erkläre bitte nochmal genauer,
> was IST und was SOLL ist. Config des IST-Zustandes hilft bekanntlich
> um möglichst konkret zu antworten. Peer
Am 24.08.2013 14:21, schrieb Sven Schumacher:
> Moin Peer,
>
> ich glaube, das entscheidende Wort steht im Betreff: FTP(!!)-Proxy
> Mit Dovecot ist er ja glücklich 😉
Äh, ja. Ich habe „ähnelich Lösung FÜR ftp“ als „ähnliche Lösung WIE BEI
ftp“ gelesen. Hoppla.
Sorry,
Pe’Isch-abe-gar-keine-Mailprogramm’er
—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin
Am 24.08.2013 14:38, schrieb Peer Heinlein:
> Am 24.08.2013 14:21, schrieb Sven Schumacher:
>> ich glaube, das entscheidende Wort steht im Betreff: FTP(!!)-Proxy
>> Mit Dovecot ist er ja glücklich 😉
danke für den Hinweis, Sven.
> Sorry,
danke, Peer.
In der Tat, mit der Lösung Dovecot-Proxy bin ich sehr glücklich.
> Ob Du SSL/TLS nach hinten sprechen willst, kannst Du Dir aussuchen, eine
> Authentifizierung auf dem Proxy findet statt und wenn Du möchtest,
> könntest Du im Backend doch auf die Authentifizierung auch verzichten.
Ja, genau so eine Lösung bräuchte ich, nur für FTP!
———-
| –> | –> 1. Datenserver
| Proxy | –> 2. Datenserver
| –> | –> X. Datenserver
———-
Keine Idee?
Hmm, Bin ich alleine, der sowas haben will?
Gruß
Andre
Am 24.08.2013 15:02, schrieb Andre:
> Hmm, Bin ich alleine, der sowas haben will?
Das nicht, aber vermutlich die Falsche Liste 😉
Könnte man sowas nicht evtl mit NFS o.ä. machen?
Die remote directories von den Backend Servern lokal mounten und ein
FTPd der alles verwaltet.
Der proftpd ist da sehr flexibel:
http://www.proftpd.org/features.html
Grüße,
Carsten
—
mail: mail@cebe.cc
mobil: 0176 / 96 52 999 7
www: http://cebe.cc/
pgp: http://cebe.cc/cebe_pub.asc
skype: skype://cebe08
Am 24.08.2013 15:08, schrieb Carsten Brandt:
> Am 24.08.2013 15:02, schrieb Andre:
>> Hmm, Bin ich alleine, der sowas haben will?
>
> Das nicht, aber vermutlich die Falsche Liste 😉
>
> Könnte man sowas nicht evtl mit NFS o.ä. machen?
> Die remote directories von den Backend Servern lokal mounten und ein
> FTPd der alles verwaltet.
Man kann doch auch bestimmt ein ganzes Filesystem per FTP-Mount einbinden.
Also ein FTP-Server, der seinerseits per ftp-fs oder über ein sshfs fix
die remote-Filesysteme der eigentlichen FTP-Server eingebunden hat. Dazu
braucht es nur eine generische Userkennung des Proxy-FTP-Servers, das
hat ja mit den Usern nichts zu tun. Der eigentliche FTP kann alles
gesammelt präsentieren und SSL/TLS terminieren.
Da gibt’s dann aber natürlich kein lokales Caching mehr, falls das
wichtig sein sollte. Oder man packt dann auf diesen Host selbst einen
FTP-Cache, der seinen eigenen localhost cached, der jetzt aber nicht
mehr mit Servern im backend klarkommen muß.
Peer
—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin
Am 24.08.2013 17:57, schrieb Peer Heinlein:
> Also ein FTP-Server, der seinerseits per ftp-fs oder über ein sshfs fix
> die remote-Filesysteme der eigentlichen FTP-Server eingebunden hat.
Danke Peer,
> Dazu
> braucht es nur eine generische Userkennung des Proxy-FTP-Servers, das
> hat ja mit den Usern nichts zu tun. Der eigentliche FTP kann alles
> gesammelt präsentieren und SSL/TLS terminieren.
hmm, mit wie vielen Backends bzw. Mounts wird es gut gehen?
Ich muss also, ob grade benötigt oder nicht, die Verbindung offen halten.
Am 25.08.2013 12:00, schrieb Andre:
> hmm, mit wie vielen Backends bzw. Mounts wird es gut gehen?
Naja, prinzipiell mit beliebig vielen.
Viele Tausend hast du denn?!
> Ich muss also, ob grade benötigt oder nicht, die Verbindung offen halten.
Ja und?
Irgendwie habe ich immernoch nicht ganz dein Szenario und Deine
Anforderung verstanden.
Peer
—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin
Am 24.08.2013 15:08, schrieb Carsten Brandt:
> Der proftpd ist da sehr flexibel:
> http://www.proftpd.org/features.html
Danke Carsten,
Den proftp setzen wir auch ein.
Außer dass ab und zu Sicherheitslöcher bekannt werden, bin ich mit
proftp recht zufrieden.
Gruß
Andre
Am 24.08.2013 15:08, schrieb Carsten Brandt:
> Der proftpd ist da sehr flexibel:
> http://www.proftpd.org/features.html
Danke Carsten,
Den proftp setzen wir auch ein.
Außer dass ab und zu Sicherheitslöcher bekannt werden, bin ich mit
proftp recht zufrieden.
Gruß
Andre
Hallo,
>> Hmm, Bin ich alleine, der sowas haben will?
ne.
Sowas in der Art hab ich auch schon mal gesucht aber nichts passendes
gefunden. In der proftpd mailingliste hatte ich dazu mal gefragt, ist aber
schon eine Weile her.
http://comments.gmane.org/gmane.network.proftpd.user/8616
Auf die Idee, die Backends per fs zu mounten bin ich damals nicht
gekommen… Kannst ja mal berichten wie sich das in der Praxis macht.
Darf ich fragen wie viele imapuser du über den dovecot-proxy leitest? Ich
plane dies, aber bisher noch nicht umgesetzt.
Danke,
Hajo
Hallo Hajo,
Am 25.08.2013 13:49, schrieb Hajo Locke:
> Auf die Idee, die Backends per fs zu mounten bin ich damals nicht
> gekommen… Kannst ja mal berichten wie sich das in der Praxis macht.
ich weiß noch nicht, ob ich den Tipp umsetzen werde.
Ich werde zunächst DeleGate testen. Mal sehen.
> Darf ich fragen wie viele imapuser du über den dovecot-proxy leitest?
> Ich plane dies, aber bisher noch nicht umgesetzt.
aktuell geht es um ca. 3k Postfächer.
Gruß
Andre
Hallo Hajo,
Am 25.08.2013 13:49, schrieb Hajo Locke:
> Auf die Idee, die Backends per fs zu mounten bin ich damals nicht
> gekommen… Kannst ja mal berichten wie sich das in der Praxis macht.
ich weiß noch nicht, ob ich den Tipp umsetzen werde.
Ich werde zunächst DeleGate testen. Mal sehen.
> Darf ich fragen wie viele imapuser du über den dovecot-proxy leitest?
> Ich plane dies, aber bisher noch nicht umgesetzt.
aktuell geht es um ca. 3k Postfächer.
Gruß
Andre