我有一个 Linux 服务器，它是一个 OpenVPN 端点，但也托管一个网络服务器。当我的客户端连接到网络服务器的服务器地址时，数据包会在 VPN 之外传输。确实如此，因为 OpenVPN 设置的到服务器的路由比进入 VPN 的默认路由更具体。但我认为这是一个“泄漏”。

因此，我尝试设置与 Wireguard 类似的设置（Wireguard 很棒，但我需要 OpenVPN，因为它需要是 TCP）。

我的设置基于 Wireguard 页面以及其他问题： Prevent Routing Loop with FwMark in Wireguard （向那里举行的讲座致敬！） Routing fwmark to VPN gateway using nftables mark

尽管进行了设置，Wireshark 显示 http/https 请求仍然通过物理接口而不是通过 vpn tun0 接口。当我使用 nft 监视器跟踪查看数据包标记时，似乎元标记已正确设置，并且仅出现适当的数据包（发往/来自端口 1194）。

所以我怀疑这是：

• PBR 规则未按预期工作。
• 数据包标记没有尽早发生。

我尝试更改链以将传出数据包标记为：

• 输入路由钩子输出
• 类型过滤钩输出
• --> 没有更多的运气

这些命令返回以下内容：

- ip rule:
0:  from all lookup local
32764:  from all lookup main suppress_prefixlength 0
32765:  not from all fwmark 0x4 lookup vpn
32766:  from all lookup main
32767:  from all lookup default

- ip route show table vpn:
default dev tun0 scope link

- ip route:
default via 10.8.0.1 dev tun0 proto static metric 50 
default via 192.168.1.1 dev wlp4s0 proto dhcp src 192.168.1.10 metric 600 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.2 metric 50 
END.POINT.IP.ADDRESS via 192.168.1.1 dev wlp4s0 proto static metric 50 
192.168.1.0/24 dev wlp4s0 proto kernel scope link src 192.168.1.10 metric 600 

-nft list ruleset:
table inet vpn {
    chain premangle {
        type filter hook prerouting priority mangle; policy accept;
        ip saddr END.POINT.IP.ADDRESS tcp sport 1194 meta nftrace set 1
        meta mark set ct mark
    }

    chain postmangle {
        type filter hook postrouting priority mangle; policy accept;
        ip daddr END.POINT.IP.ADDRESS tcp dport 1194 meta nftrace set 1
        ip daddr END.POINT.IP.ADDRESS tcp dport 1194 meta mark set 0x00000004
        meta mark 0x00000004 ct mark set meta mark
    }
}

- traceroute -n --fwmark=0x4 END.POINT.IP.ADDRESS
    shows it goes via the physical interface out of the vpn (as expected)
    
- traceroute -n END.POINT.IP.ADDRESS
    shows it goes via the physical interface out of the vpn (UNWANTED)

非常感谢您提前！

设置

• always_bccpostfix 通过,将所有邮件转发给 archive@domain 用户

• 后缀将所有 RCPT TO 保存在X-Envelope-To标头中以保留密件抄送收件人，

• X-Envelope-To出于隐私原因，用于 smtp 传输的postfix 删除，

• postfix 通过lmtp.

• dovecot 使用一个筛子脚本来刷新X-Envelope-To除archive@domain 之外的所有用户。

问题

最初X-Envelope-To每个都有一个。RCPT TO所以我希望筛子脚本添加一个连接多个值的Bcc标题。X-Envelope-To

require "fileinto";
require "imap4flags";
require ["editheader", "envelope"];
require "regex";
require ["variables","mime","foreverypart"];


if envelope :is "to" "archive@domain" {
   concat = """"";
   foreverypart {
        if header :regex "X-Envelope-To" "(.*)" {
        concat = ${concat}  "${1}";
        }
   }
   addheader "Bcc" "${1}";

} else {
   deleteheader "X-Envelope-To";
}

哪个不起作用...

有什么简单的方法可以在筛子中做到这一点？或者除了外部脚本之外别无他法？或者也许后缀可以连接所有这些，但这意味着 milter ？

提前致谢

密送[email protected] 用户，我们不希望人们收到该密送列表，除了[email protected]“用户”。

目标

1. 我们希望归档所有通过 postfix 发送和接收的邮件。该设置使用：

• 后缀，
• 使用 Pam（从 Ldap 提取）用户进行 dovecot 身份验证，
• 并通过Dovecot 的 LMTP发送到邮箱。

2. 我们希望在邮件存档中包含密件抄送收件人。

3. 除了[email protected]“用户”之外，我们不希望人们收到该密件抄送列表。

审判

1. 使用 always_bcc = [email protected] 有效。但是密件抄送收件人（根据权利在信封中作为 RCPT TO 而不是在标题中）会丢失。

2. 使用：（根据有哪些选项可以存档 Postfix 电子邮件并在标题中保留任何密件抄送信息）

main.cf
smtpd_recipient_restrictions =
  check_recipient_access pcre:/etc/postfix/prepend.pcre

而 pcre 表达式是：

prepend.pcre
/(.+)/          PREPEND X-Envelope-To: $1

这就像一个魅力：我存储的消息有标题 To:; 抄送; X 信封至。如果我们需要深入研究它，即使在密件抄送中，我们也可以知道谁收到了该消息。（注意：X-Envelope-To 包括收件人和抄送人员，以及外部域收件人）。

3. 消除 X-Envelope-To： 发送：

smtp_header_checks = pcre:/etc/postfix/smtp_header_checks.pcre

与内容：

smtp_header_checks.pcre
/^X-Envelope-To:/               IGNORE

一切都好，直到那里。

问题

消除未离开服务器的电子邮件的 X-Envelope-To。我做了：

lmtp_header_checks = pcre:/etc/postfix/lmtp_header_checks.pcre

lmtp_header_checks.pcre
/^X-Envelope-To:/               IGNORE

但这不是选择性的，甚至 [email protected] 也会丢失“保存”密件抄送列表的标题。

我找不到该标题检查选择性的方法，因为它只评估行本身并且不能使用收件人来制定条件（即使使用 pcre 的“if”）。 ( http://www.postfix.org/pcre_table.5.html )

有没有可以使用的变量？一个想法是：在附加的 X-Envelope-To 标头中包含“[email protected]”，在 lmtp_header_checks.pcre 中包含以下内容：[email protected] 不等于 $LMTP_DELIVERY_RECIPIENT Delivered-To 或 X-Delivered - 保留一个单独的标题，pcre 无法将其评估为变量。

否则有没有办法让 lmtp 触发一些 milter ？我可以使用一个简单的 lmtp_milter 过滤器吗？

在所有可能的文档中追逐了几天，在此先感谢