我遇到了一些糟糕的服务器试图向我发送一些我迫切需要的电子邮件的问题。

发件人总是请求 STARTTLS，但之后无法建立 TLS（我的服务器支持的 v1.2+）连接。据推测，它会将未加密的邮件发送到未宣布该功能的邮件服务器。

我可以使用 全局禁用 TLS smtpd_tls_security_level，但这真的很糟糕，所以我想找到一个设置，仅针对尝试与我联系的给定远程服务器列表禁用它。

甚至可能吗？

编辑：这是来自 Postfix 的日志smtpd_tls_loglevel = 2：

belette64 postfix/smtpd[145475]: connect from smtp.misconfigured.fr[XX.XX.XX.XX]
belette64 postfix/smtpd[145475]: setting up TLS connection from smtp.misconfigured.fr[XX.XX.XX.XX]
belette64 postfix/smtpd[145475]: smtp.misconfigured.fr[XX.XX.XX.XX]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
belette64 postfix/smtpd[145475]: SSL_accept:before SSL initialization
belette64 postfix/smtpd[145475]: SSL_accept:before SSL initialization
belette64 postfix/smtpd[145475]: SSL3 alert write:fatal:handshake failure
belette64 postfix/smtpd[145475]: SSL_accept:error in error
belette64 postfix/smtpd[145475]: SSL_accept error from smtp.misconfigured.fr[XX.XX.XX.XX]: -1
belette64 postfix/smtpd[145475]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:../ssl/statem/statem_srvr.c:2282:
belette64 postfix/smtpd[145475]: lost connection after STARTTLS from smtp.misconfigured.fr[XX.XX.XX.XX]

今天是路由日。您现在应该如何添加 IP 路由、基本使用以及对阅读本文ip rule有很好的理解。iptables

这是在LinuxFr上交叉发布的（法语）。

问题

我有一个桥接模式的 ADSL 调制解调器（Freebox）和一个 DMZ 模式的光纤（Livebox）。除了选定的流量外，所有流量都通过 ADSL，另一流量通过光纤通道。这是我的设置，在相反的情况下，问题仍然是一样的。

为了缓解这个问题，我将讨论通过路由器、运行 Debian GNU/Linux 的流量，而不是该路由器产生的流量。

我的 ADSL 地址是 82.236.xxx.xxx，光纤是 90.76.xxx.xxx。

什么应该起作用

我们理所当然地认为mangle这张桌子是空的。

> ip route show table livebox
default via 192.168.1.1 dev eth_livebox src 192.168.1.253 
82.236.xxx.0/24 dev eth_adsl scope link src 82.236.xxx.xxx 
192.168.0.0/24 dev bridge_local scope link src 192.168.0.253 
192.168.1.0/24 dev eth_livebox scope link src 192.168.1.253 

iptables -t mangle -I PREROUTING --destination 23.23.114.123 -j MARK --set-mark 1
ip rule add from all fwmark 0x1 lookup livebox

这是行不通的。这意味着当我这样做时

curl http://api.ipify.org/ --resolve api.ipify.org:80:23.23.114.123

从 LAN 客户端，不返回任何内容。

什么有效

表livebox没有变化。然而，在刷新mangle表之后，我们用这个填充它：

iptables -t mangle -I PREROUTING --source 23.23.114.123 -j TOS --set-tos 0x10
iptables -t mangle -I PREROUTING --destination 23.23.114.123 -j TOS --set-tos 0x10
ip rule add from all tos 0x10 lookup livebox

接着 ：

> curl http://api.ipify.org/ --resolve api.ipify.org:80:23.23.114.123
90.76.xxx.xxx

我想在我位于 example.com 的自托管服务器上维护一个 DNS 隧道。我还有一个 DNS 服务器，它为 example.com 提供一切服务。我目前在域 tunnel.example.com 上使用dns2tcp进行 DNS 隧道传输。 NSD3用于为权威区域提供服务，因为它既简单又安全。

但是，我只有一个公共 IPv4 地址，这意味着 NSD 和 dns2tcp 不能监听同一个 IP/端口。

所以我目前正在使用PowerDNS Recursor使用这样的forward-zones参数：

forward-zones-recurse=tunnel.example.com=1.2.3.4:5354
forward-zones=example.com=1.2.3.4:5353

这使得对权威区域的请求能够被请求到正确的服务器，以及隧道请求。NSD 监听 5353 端口，dns2tcp 监听 5354 端口。

然而，这很糟糕，因为递归需要打开。它实际上回答了任何递归查询。

你有什么解决办法吗？我真的更喜欢不涉及设置 BIND 的解决方案，但如果您有心情说服我，请毫不犹豫地这样做；)

编辑：我将标题更改为更清楚。