История изменений
Исправление DALDON, (текущая версия) :
Ох блин... Попал я сегодя с xinetd по самые помидоры... Зато конечно опыта приобрёл....)))
В общем смотри какая штука: Я скопировал твои конфиги, у меня прям сходу всё зашуршало! Всё ок! Я посмотрел через tcpdump, всё ок - запросы прилетают с внутреннего ip адреса моего шлюза, то есть проксирование выполняется. Ну я сижу такой довольный весь. И тут звонки пошли, что якобы почта не получает и не отправляет... Я потыркал - вебморда отзывается, всё вроде работает. Отправил себе письмо на Яндекс - нету... Стал ковырять, смотрю CPU занят на 20 процентов postfixом. Думаю... Дай погляжу очередь почтовую... Гляжу... Твою мать - 30к писем ожидает. Себе все волосы порвал, по интуиции выключил быстро xinetd, захолдил всю очередь. Стал разбираться - смотрю писем больше не появляется. Ок! Удалил спамовые очереди, и стал думать... - Ну быстро пришёл к выводу, что у меня в mynetworks прописан ip шлюза по глупости/кривизны webморды. Ну я быстро смекнул, что я стал тупо openrelay сервером... Сейчас всё подкрутил как надо. Думаю, ну снова включу xinetd - твою мать, боты то ломиться продолжают... Мать их. Понравилось им, что я несколько часов был openrelay. - Как быстро меня так нашли - я в шоке. Ну ладно, теперь боты получают relaydenied. Но... Тут то вон чё... Тут есть: fail2ban, который с радостью забанил нахрен мой ip шлюза за овердофига попыток поспамить, ведь xinetd - как прокси выступает.
Что делать то..? Маркировкой пакетов заниматься остаётся и не пользовать для почты xinetd? Блин, так не хочется этого делать...
Исходная версия DALDON, :
Ох блин... Попал я сегодя с xinetd по самые помидоры... Зато конечно опыта приобрёл....)))
В общем смотри какая штука: Я скопировал твои конфиги, у меня прям сходу всё зашуршало! Всё ок! Я посмотрел через tcpdump, всё ок - запросы прилетают с внутреннего ip адреса моего шлюза, то есть проксирование выполняется. Ну я сижу такой довольный весь. И тут звонки пошли, что якобы почта не получает и не отправляет... Я потыркал - вебморда отзывается, всё вроде работает. Отправил себе письмо на Яндекс - нету... Стал ковырять, смотрю CPU занят на 20 процентов postfixом. Думаю... Дай погляжу очередь почтовую... Гляжу... Твою мать - 30к писем ожидает. Себе все волосы порвал, по интуиции выключил быстро xinetd, захолдил всю очередь. Стал разбираться - смотрю писем больше не появляется. Ок! Удалил спамовые очереди, и стал думать... - Ну быстро пришёл к выводу, что у меня в mynetworks прописан ip шлюза по глупости/кривизны webморды. Ну я быстро смекнул, что я стал тупо openrelay сервером... Сейчас всё подкрутил как надо. Думаю, ну снова включу xinetd - твою мать, боты то ломиться продолжают... Мать их. Понравилось им, что я несколько часов был openrelay. - Как быстро меня так нашли - я в шоке. Ну ладно, теперь боты получают relaydenied. Но... Тут то вон чё... Тут есть: fail2ban, который с радостью забанил нахрен мой ip шлюза за овердофига попыток поспамить, ведь xinetd - как прокси выступает.
Что делать то..? Маркировкой пакетов заниматься остаётся? Блин, так не хочется этого делать...