[gelöst] Linux-Gast via NAT von aussen nicht erreichbar

[Hans]

Liebe VMWare-Gemeinde.

Meine Linux-Box als VMWare-Gast (siehe Signatur) ist von aussen nicht erreichbar, also ein ping linuxboxname.meinname.dyndns.org funktioniert nicht.
VMWare hat in den NAT-Einstellungen dem Gast die Adresse 192.168.23.128 gegeben.
Diese ist vom Host (Windows per ping auch erreichbar. Auch den Apache erreiche ich im Firefox-Browser des Hosts (allerdings immer nur per IP-Nummer, nicht aber über einen Namen).

Ziel sollte sein: vom MySQL-Server des VMWare-Gastes (linuxbox) eine TCP-Verbindung zum MySQL-Server einer Internet-Maschine bei 1und1 aufzubauen, um ein Replikation anzustoßen. Außerdem muss der VMWare-Gast auch ins Internet können und vom VMWare-Host erreichbar sein - am besten per Name.

Die Fritzbox hat merkwürdigerweise dem Linux-Gast die Adresse 192.168.178.22 vergeben, also im Netzsegment der anderen Geräte im Heimnetz.. Es kommt im Gast aber nichts an. (Ich habe in der Fritzbox die virtuelle MAC-Adresse des VMWare-Gastes vergeben)

Keine Firewall auf allen Maschinen eingeschaltet.

Grüße Hans

[Dayworker]

Wenn du das VMware-NAT-Interface nutzt, taucht die VM nur unter der IP- und MAC-Adresse des Hosts auf. Der Gast ist dann unsichtbar.
Schau dir mal die Datei nat.conf in den Benutzereinstellungen an, dort mußt du ggf die gewünschten Ports zum weiterleiten eintragen.
Eine andere Möglichkeit wäre, das NAT-Interface gegen das Bridge-Interface auszutauschen. Dann bekomm die VM ganz regulär eine IP-Adresse aus dem IP-Bereich des Host und taucht dann als weiterer Rechner im lokalen Netzwerk auf.

[Hans]

Wenn du das VMware-NAT-Interface nutzt, taucht die VM nur unter der IP- und MAC-Adresse des Hosts auf. Der Gast ist dann unsichtbar.
Schau dir mal die Datei nat.conf in den Benutzereinstellungen an, dort mußt du ggf die gewünschten Ports zum weiterleiten eintragen.
Eine andere Möglichkeit wäre, das NAT-Interface gegen das Bridge-Interface auszutauschen. Dann bekomm die VM ganz regulär eine IP-Adresse aus dem IP-Bereich des Host und taucht dann als weiterer Rechner im lokalen Netzwerk auf.

Hallo Dayworker

Vielen Dank für die Beantwortung:
Der VMWare-Gast (SuSE-Linux) ist schon auf dem Host erreichbar (wie gesagt, im Firefox-Browser kann ich den Apache unter Linux erreichen, allein von außen geht nichts!)
zu Bridge:
1. kann ich von außen denn den Linux-Gast dediziert via Port ansprechen ?
2. kann der Linux-Gast mit dem Internet kommunizieren ? und
3. kann ich seine HTTP-Dienste vom Host aus auch erreichen ?

Fragen, Fragen ....
Grüße
Hans

[Dayworker]

Wenn du Dienste einer VM von aussen erreichen willst, mach es dir einfach und schalte sämtlichen DHCP-Krampf ab. Wenn es dann nicht funktioniert, braucht man nur noch das ganze Netzwerkgedöns durchgehen und findet den Fehler.

Das der Gast vom Host erreichbar ist, sollte für dich verständlich sein. Anders sieht es natürlich aus dem Web aus. Dafür mußt du auf deinem Router eine Portweiterleitung einrichten. Das Problem mit VMware-NAT ist dabei, daß du den gewünschten Port nicht auf den Gast sondern den Host weiterleiten mußt. Nur der Host kennt sowohl bei NAT als auch Host-only den IP-Bereich des Gasts. Wenn du also das VMware-NAT-Interface in einem Gast nutzt, mußt du sogar zweimal den Port weiterleiten. Einmal im Router und dann noch in Workstation bzw Player. Mit dem VMware-Bridge-Interface taucht der Gast als normaler Netzwerkteilnehmer deines Hausnetzes auf und du kannst die Portweiterleitung direkt im Router erledigen.

In jedem Fall mußt du dabei beachten, daß ein Port nicht doppelt weitergeleitet werden kann. Wenn also Host und Gast auf Port 80 eine Weiterleitung brauchen und auch beide von aussen erreichbar sein sollten, hast du an einem normalen xDSL-Anschluß Pech gehabt. Dafür bräuchtest du dann mehrere externe Adressen ins Web.



Allerdings könnte dir auch Windows8 da einen Strich durch die Rechnung machen. Da M$ seine eigene Virtualisierungslösung hat, zeigen sie nur wenig Interesse an einer Problemlösung im Zusammenhang mit VMware. Falls es also absolut nicht funktioniert, schreib dein Problem direkt im offiziellen VMTN bei VMware.com...

[rprengel]

Wenn du das VMware-NAT-Interface nutzt, taucht die VM nur unter der IP- und MAC-Adresse des Hosts auf. Der Gast ist dann unsichtbar.
Schau dir mal die Datei nat.conf in den Benutzereinstellungen an, dort mußt du ggf die gewünschten Ports zum weiterleiten eintragen.
Eine andere Möglichkeit wäre, das NAT-Interface gegen das Bridge-Interface auszutauschen. Dann bekomm die VM ganz regulär eine IP-Adresse aus dem IP-Bereich des Host und taucht dann als weiterer Rechner im lokalen Netzwerk auf.

Hallo Dayworker

Vielen Dank für die Beantwortung:
Der VMWare-Gast (SuSE-Linux) ist schon auf dem Host erreichbar (wie gesagt, im Firefox-Browser kann ich den Apache unter Linux erreichen, allein von außen geht nichts!)
zu Bridge:
1. kann ich von außen denn den Linux-Gast dediziert via Port ansprechen ?
2. kann der Linux-Gast mit dem Internet kommunizieren ? und
3. kann ich seine HTTP-Dienste vom Host aus auch erreichen ?

Fragen, Fragen ....
Grüße
Hans

Hallo,

aus meiner Sicht solltest du dir überlegen eine DMZ mit einem zusätzlichen PC aufzubauen. Selbst wenn das irgendwann läuft läufst du Gefahr das dir bei der kleinsten Änderung alles um die Ohren fliegt.
Saubere einfache Strukturen machen das IT-Leben deutlich leichter.
Gruss

[Dayworker]

Eine DMZ wäre auch eine Möglichkeit, ohne eigenständige und umfassende Kenntnisse dieser Materie sollte man sowas aber meiner Meinung nicht aufbauen. Dazu kann man da viel Müll konfigurieren und das System steht nachher ungeschützt im Inet.

Von der Warte finde ich eine VM wesentlich besser zu händeln, da man beim Bridge-Interface immer noch im Schutz des Routers agieren kann und für die DMZ nicht extra noch einen Rechner hinstellen muß. Damit das über eine VM natürlich sauber funktionieren kann, reicht dann natürlich eine Netzwerkkarte im Virtualiserungs-Host nicht aus.


Ich hab beim letzten Mal vergessen, deine Frägen zu beantworten. Du fragtest:

zu Bridge:
1. kann ich von außen denn den Linux-Gast dediziert via Port ansprechen ?
2. kann der Linux-Gast mit dem Internet kommunizieren ?
3. kann ich seine HTTP-Dienste vom Host aus auch erreichen ?

Die Antwort lautet 3mal JA, wenn du die benötigten Ports als Weiterleitung im Router einrichtest.

[Hans]

Also eine DMZ, um zwei Linux-MySQL zu synchronisieren, aufzubauen, erscheint mir wirklich etwas übertrieben, zumal nur ein bestimmter Nutzer auf dem Internet-Slave mit Passwort von einer bestimmten Adresse zu einer bestimmten Adresse über einen bestimmten Eingangsport dies tun darf.

@dayworker: Nun habe ich mühselig der WLAN- und LAN-Schnittstelle zunächst den DHCP-Mechanismus abgewöhnt (mit mehreren Reboots und Herummeckerei von Windows wegen der Verwendung von nur einer Gateway-Adresse für 2 NICs)

Wie nun soll ich vorgehen, wenn
1. ich den VMWare-Gast vom Internet erreichen muss (eingehender Verkehr, wg. Datenbank-Replikation,
2. ausgehender Internetverkehr vom Linux-Gast, z.B. Web-Browsing funktionieren soll und
3. der Gast vom Host erreichbar sein soll.
(In der Vergangenheit, unter Windows7, habe ich, soweit ich mir erinnern kann, Auto-Bridging verwendet, dass aber auch nicht alle o.g. Optionen zuließ)

Soll ich nun VMnet0 (Autobrigding) oder weiterhin VMnet8 (NAT) oder VMnet1 (Host-only) einsetzen?
Muss in nicht manuell im Rahmen der Nutzung der virtuellen NIC VMnet8 eine Route von irgendwo nach irgendwohin legen???

Ihr seht, dass ich im Netzwerk-Management doch sehr unsicher bin und mich in der Anwendungsentwicklung, Datenbanken etc. wesentlich besser aufgehoben fühle

Liebe Grüße an alle und Danke für Eure Antworten.

[~thc]

1. Linux-VM auf VMNet0 legen
2. Der Linux-VM eine IP-Adresse aus deinem LAN geben (so als wäre sie ein separater PC)
3. Auf der FritzBox unter "Internet/Freigaben/Portfreigaben" eine Portweiterleitung des mySQL-Replikations-Ports auf die IP-Adresse deiner Linux-VM einstellen

[Hans]

1. Linux-VM auf VMNet0 legen
2. Der Linux-VM eine IP-Adresse aus deinem LAN geben (so als wäre sie ein separater PC)
3. Auf der FritzBox unter "Internet/Freigaben/Portfreigaben" eine Portweiterleitung des mySQL-Replikations-Ports auf die IP-Adresse deiner Linux-VM einstellen

Hallo ~thc

Also Auto-Bridging: gehen denn damit alle o.g. Ziele ? Ich kann mich daran erinnern, dass ich das schon einmal so gemacht habe, dann erreichte der Host den Web-Server des Linux-Gastes aber nicht mehr. --- Aber ich werde es noch einmal ausprobieren.

Grüße
Hans

[Hans]

Ich kriege es wirklich nicht gebacken:
Nun habe dem VMWare-Gast (Linux) die VMWare-NIC "VMnet0 Custom" Auto-bridging
zugewiesen. Ergebnis:
Der Gast hat per DHCP die Adresse 192.168.178.23 zugewiesen bekommen.
1. Gast ist vom Host aus erreichbar;
2. Gast hat Zugriff auf das Internet und
3. Gast kann mit ext. Adresse NICHT "anpinged" werden, also "ping linuxboxname.meinname.dyndns.org" geht nicht
(Vom Gast geht "ping meinname.dyndns.org" sehr wohl, also ist der Host mit externer Adresse vom Gast aus ansprechbar.)

Es wird wohl an der verdammten Fritzbox liegen, die den Linux-Gast zwar als eigenständiges Gerät anzeigt, aber nur über die WLAN-NIC des Hostes.
Die Port-Öffnung in der Fritzbox auf den angezeigten Linux-Gast kann erst dann erfolgen, wenn er über ICMP auch erreichbar ist.

Was kann ich noch tun, Leute ?

Grüße
Hans

[~thc]

Moment mal.

dynDNS-Adressen betreffen nur die Erreichbarkeit deiner externen IP-Adresse aus dem Internet heraus. Das sollte mit deinen internen LAN nichts zu tun haben. Du prüfst mit "ping meinname.dyndns.org" nur, ob du von deinem internen LAN aus die externe IP-Adresse deines Routers erreichen kannst - das nützt dir im LAN wenig.

"ping linuxboxname.meinname.dyndns.org" geht nur mit einem dynDNS Pro Account (Wildcard-Host). Hast du einen solchen? Und selbst wenn - das Ergebnis sagt ebenso wenig aus wie oben.

Warum WLAN-NIC? Was meinst du damit? Hat die WLAN-Karte des Hosts auch die 192.168.178.23?

[Hans]

Moment mal.

dynDNS-Adressen betreffen nur die Erreichbarkeit deiner externen IP-Adresse aus dem Internet heraus. Das sollte mit deinen internen LAN nichts zu tun haben. Du prüfst mit "ping meinname.dyndns.org" nur, ob du von deinem internen LAN aus die externe IP-Adresse deines Routers erreichen kannst - das nützt dir im LAN wenig.

Doch, doch - der Gast muss sehr wohl durch einen externen Namen erreichbar sein - sonst wird es nichts mit der DB-Replikation.

"ping linuxboxname.meinname.dyndns.org" geht nur mit einem dynDNS Pro Account (Wildcard-Host). Hast du einen solchen? Und selbst wenn - das Ergebnis sagt ebenso wenig aus wie oben.

Dazu ist natürlich kein Wildcard-Host notwendig (angemeldet bin ich dort, und der Host ist ja auch erreichbar) - der Host muss nur den Namen "linuxboxname" nach "unten" weiterreichen - und das funktioniert nicht mehr !

Warum WLAN-NIC? Was meinst du damit? Hat die WLAN-Karte des Hosts auch die 192.168.178.23?

Natürlich nicht: die WLAN-NIC hat die Nummer 192.168.178.20; der Gast ....23.

[Dayworker]

Bitte bitte laß das VMware Auto-Detect/Bridging sein. Das funktioniert nur mit einer Netzwerkkarte wie gewünscht, weil die Reihenfolge beider Karten nicht fest ist. VMware greift sich beim Booten bei Auto-Funktion eine der vorhandenen Nic's und konfiguriert dann alle weiteren irgendwie. Das kann sich aber bei jedem Boot wieder ändern. Daher unser Rat die VMware-Netzwerk-Config immer manuell vorzunehmen.

Damit ein "ping meinname.dyndns.org" und "ping linuxboxname.meinname.dyndns.org" funktioniert, mußt du irgendwo noch einen DNS-Server hinstellen und in der Regel brauchst du das doch garnicht. Dir reicht es doch völlig aus, daß dein Gast sowohl aus dem Lan als auch dem Inet errreichbar ist. Falls du unbedingt vor deinem DynDNS-Namen noch einen Host ansprechen willst, dürftest du mit DynDNS inzwischen sowieso Pech haben, da dieser Dienst bekanntlicherweise hinsichtlich Wildcards, MX-Records und DynDNS-Namen extrem eingeschränkt wurde. Im Normalfall reicht es aber völlig aus, wenn der Gast direkt über deine DynDNS-Kennung mit deiner momentanen, öffentlichen IP-Adresse ansprechbar ist. Das klappt bei mir sowohl mit Email als auch HTTP und VPN.
Wenn du dagegen über den DynDNS-Namen noch Webserver auf verschiedenen VMs ansprechen willst, solltest du dich entweder mal mit dem Webserver-Konzept von vhost's oder Reverse-Proxy unter Apache oder deinem eingesetzten Webserver beschäftigen.

Auch unter Linux gibt es je nach Distribution eine Firewall und je nach Distribution übernimmt diese dann auch gleich die Freigabe der Standardports 80 und 443. Falls du noch andere Ports wünschst, mußt du diese logischerweise manuell nachtragen.



[add]
Dein "linuxboxname" ist doch von extern unter meinname.dyndns.org erreichbar. Es sollte daher eigetnlich keine Verbindungsprobleme geben.

[add2]
Hast du denn überhaupt die Kommunikation zwischen WLan-Clienten in der FritzBox freigegeben?
Falls da der Haken fehlt, wird das sonst nichts...

[Hans]

Bitte bitte laß das VMware Auto-Detect/Bridging sein. Das funktioniert nur mit einer Netzwerkkarte wie gewünscht, weil die Reihenfolge beider Karten nicht fest ist. VMware greift sich beim Booten bei Auto-Funktion eine der vorhandenen Nic's und konfiguriert dann alle weiteren irgendwie. Das kann sich aber bei jedem Boot wieder ändern. Daher unser Rat die VMware-Netzwerk-Config immer manuell vorzunehmen.

Ok

Damit ein "ping meinname.dyndns.org" und "ping linuxboxname.meinname.dyndns.org" funktioniert, mußt du irgendwo noch einen DNS-Server hinstellen und in der Regel brauchst du das doch garnicht. Dir reicht es doch völlig aus, daß dein Gast sowohl aus dem Lan als auch dem Inet errreichbar ist. Falls du unbedingt vor deinem DynDNS-Namen noch einen Host ansprechen willst, dürftest du mit DynDNS inzwischen sowieso Pech haben, da dieser Dienst bekanntlicherweise hinsichtlich Wildcards, MX-Records und DynDNS-Namen extrem eingeschränkt wurde. Im Normalfall reicht es aber völlig aus, wenn der Gast direkt über deine DynDNS-Kennung mit deiner momentanen, öffentlichen IP-Adresse ansprechbar ist. Das klappt bei mir sowohl mit Email als auch HTTP und VPN.
Wenn du dagegen über den DynDNS-Namen noch Webserver auf verschiedenen VMs ansprechen willst, solltest du dich entweder mal mit dem Webserver-Konzept von vhost's oder Reverse-Proxy unter Apache oder deinem eingesetzten Webserver beschäftigen.

Bis vor einigen Montaten ging der direkte Durchgriff via dyndns.org aber noch. Dem Gast die WAN-Adresse direkt zuzuweisen geht nicht, da die Fritzbox und vorallem das NAS erreichbar bleiben sollen.

Auch unter Linux gibt es je nach Distribution eine Firewall und je nach Distribution übernimmt diese dann auch gleich die Freigabe der Standardports 80 und 443. Falls du noch andere Ports wünschst, mußt du diese logischerweise manuell nachtragen.

Um die Erreichbarkeit per "ping" zu prüfen, braucht das ICMP (also ping und Konsorten) dazu natürlich kein Port.

Wenn ich im Linux-Gast eingebe:
"ping 192.168.178.23.meinname.dyndns.org"
erhalte ich eine Antwort-Zeile:
PING 192.168.178.23.meinname.dyndns.org (62.157.140.133) 56(84) bytes of data.
Und nichts mehr, sodass ich mit CNTL-C abbrechen muss.

Man ACHTE VERSTÄRKT auf die IP-Adresse 62.157.140.133, von der ich nicht weiss, woher sie kommt - nicht von meinem Internet-Provider!

[Hans]

@Dayworker:

[add1]
Dein "linuxboxname" ist doch von extern unter meinname.dyndns.org erreichbar. Es sollte daher eigetnlich keine Verbindungsprobleme geben.

Nein ist sie nicht: es ist vom Host und vom Gast "meinname.dyndns.org" erreichbar. So soll es auch sein, damit ich andere Geräte noch erreiche.

[add2]
Hast du denn überhaupt die Kommunikation zwischen WLan-Clienten in der FritzBox freigegeben?
Falls da der Haken fehlt, wird das sonst nichts...

Wo mache ich das?

Grüße
Hans[/quote]

[~thc]

Man ACHTE VERSTÄRKT auf die IP-Adresse 62.157.140.133, von der ich nicht weiss, woher sie kommt - nicht von meinem Internet-Provider!

Die gehört der deutschen Telekom:

Code: Alles auswählen

inetnum:        62.157.140.0 - 62.157.141.255
netname:        TOIAG-ULM-002
descr:          Deutsche Telekom AG
descr:          Products & Innovation
country:        DE
admin-c:        DTIP
tech-c:         DTST
status:         ASSIGNED PA
mnt-by:         DTAG-NIC
source:         RIPE # Filtered


[Hans]

Man ACHTE VERSTÄRKT auf die IP-Adresse 62.157.140.133, von der ich nicht weiss, woher sie kommt - nicht von meinem Internet-Provider!

Die gehört der deutschen Telekom:

Code: Alles auswählen

inetnum:        62.157.140.0 - 62.157.141.255
netname:        TOIAG-ULM-002
descr:          Deutsche Telekom AG
descr:          Products & Innovation
country:        DE
admin-c:        DTIP
tech-c:         DTST
status:         ASSIGNED PA
mnt-by:         DTAG-NIC
source:         RIPE # Filtered


ist das der DNS-Server der Telekom, der in der Antwortzeile des nicht funktionierenden Pings wiedergegeben wird, da meine WAN-Adresse zur Zeit 93.233.112.xx lautet.

Grüße
Hans

[Hans]

Ich glaube mir schwant es langsam: Nach einem Blick auf die MySQL-Server-Konfigurationsdatei auf dem Internetserver, musste ich feststellen, dass der Name des MySQL-Masters mit dem dieser Slave sich zu replizieren hat wirklich "meinname.dyndns.org" heisst.

Alle von Euch die mir rieten, auf der Fritzbox lediglich einen Port des VMWare-Hostes freizugeben um damit einen Dienst des VMWare-Linux-Gastes zu erreichen, müssen damit recht gehabt haben.

Nachdem ich erst den Server neu aufgebaut habe, kann ich abschließend diese MySQL-Serverreplikation testen. (Sie ist wirklich nützlich, da sie nicht nur ASCII- sondern auch Binärdaten und sogar DB-Strukturänderungen mitrepliziert:)

Thread geschlossen und vielen Dank an alle Beteiligten

[Dayworker]

Hast du eine Master-Master- oder Master-Slave-Config am Laufen?
Falls ersteres zutrifft, wäre ich an weiteren Infos interessiert. Wir sollten dann aber einfach mal im Smallltalk-Bereich einen neuen Thread aufmachen...

[Hans]

Hast du eine Master-Master- oder Master-Slave-Config am Laufen?
Falls ersteres zutrifft, wäre ich an weiteren Infos interessiert. Wir sollten dann aber einfach mal im Smallltalk-Bereich einen neuen Thread aufmachen...

Hallo Dayworker

Es ist eine Master-Master-Replikation, die ja aus 2 sich gegenseitig aufeinander beziehenden Master-Slave-Replikationen besteht. (Sie wird im Rahmen eines Filminformationssystems genutzt und zur Voraussetzung natürlich ein Binär-Logging hat.)

Ich muss den Inet-Server aber wieder neu aufbauen und hoffe einmal, dass der Direktdurchgriff via Port 3010 bidirektional wieder funktionieren wird.

Grüße
Hans

[Dayworker]

Ich würde jetzt aber den geschriebenen Port nicht mehr zur direkten Replikation nutzen. Der gilt inzwischen als kompromittiert und falls du nicht tagtäglich die SW-Updates einspielst, wirst du über kurz oder lang unliebsame Besucher haben. Ich würde jede SW soweit möglich daher extern immer über einen beliebigen Port ansprechen und dann auf den internen Wunschport weiterleiten. Das senkt entschieden die Entdeckungsgefahr. Im Zusammenhang mit Linux bietet sich neben der üblichen SSL-Verschlüsselung auch direkt ein SSH-Tunnel und/oder Port-Knocking an...

[Hans]

Ich würde jetzt aber den geschriebenen Port nicht mehr zur direkten Replikation nutzen. Der gilt inzwischen als kompromittiert und falls du nicht tagtäglich die SW-Updates einspielst, wirst du über kurz oder lang unliebsame Besucher haben.
Ich würde jede SW soweit möglich daher extern immer über einen beliebigen Port ansprechen und dann auf den internen Wunschport weiterleiten. Das senkt entschieden die Entdeckungsgefahr. Im Zusammenhang mit Linux bietet sich neben der üblichen SSL-Verschlüsselung auch direkt ein SSH-Tunnel und/oder Port-Knocking an...

Also, der extern bei dyndns.org hinerlegte Rechner-Name, ist als solcher aber nicht bekannt. Wie stellt man denn einen beliebigen Port ein? Ist das jener, der in der Fritzbox-Konfiguratonsseite mit "von Port .... bis Port" gemeint ist oder der, der weiter unten mit "an Port ..." beschrieben wird? (Da ist wirklich noch zu tun: bei mir ist nämlich nur ein fester Port von außen und nach innen eingestellt.)

Von Port-Knocking habe ich nichts gehört und ob ein SSH-Tunnel funktioniert, der mich aber auch interessieren würde, weiss ich nicht, da ja die Replikation direkt im MySQL-Client angestoßen wird.

Grüße
Hans

[Dayworker]

Prinzipiell ist es mit Ports so, daß diese auf ihren Zustand abgefragt werden können und allein auf Grundlage des verwendeten Ports (VMware = 902, HTTP = 80, HTTPS = 443, FTP = 21, Email = 25 oder 587, RDP = 3389 etc) läßt sich dann vielfach schon auf den verwendeten Dienst schliessen. Wenn du jedoch auf beiden Seiten extern einen beliebigen Port nutzt, kannst du mit Portweiterleitung intern trotzdem noch die Standardports der jeweiligen SW nutzen. Problematisch wird es nur, wenn Dienste den neuen Port nicht kennen. Beispielsweise einen Email-Server auf einen anderen Port zu mappen, wird dir nur in kleiner Runde und ausschließlich mit von dir dazu instruierten Personen klappen. Sobald dein Email-Server auch Mails anderer Web-Provider annehmen soll, scheitert das bereits.

Port-Knocking wurde mal als Lösung entwickelt, wenn Linux über seine Firewall auch die externe Sicherheit abbildet. Dabei wird über ein sogenanntes Magic-Paket mit einem vorher zu bestimmenden Inhalt am Wunschport angeklopft und die Firewall hat dann diesen Port für eine bestimmte Zeit oder Aktion geöffnet. Danach hat die Firewall den Port automatisch wieder geschlossen.

Einen SSH-Tunnel aufbauen, sollte auch kein Problem darstellen. Der Unterschied zur jetzigen Config ist, daß du als Sender und Empfänger nicht mehr den externen Teilnehmer anführst sondern auf den auf Localhost und SSH-Port gelegten, bereits aufgebauten Tunnel. Sämtliche weitere Kommunikation zwischen beiden Tunnelenden erfolgt dann verschlüsselt und nur am jeweiligen Ende lässen sich dann die ankommenden Datenströme wieder entschlüsseln.