Есть форум на Perl, стоит проверка при отсылке сообщения на HTTP_REFERER. В некоторых ситуациях эта переменная оказывается пустой (похоже IE7 не отдает), в результате пользователь не может добавить сообщение. При отключении проверки начинает просачиваться спам. Знаю, что можно обойти и подделать реферера, но, видимо, большинство спамеров этим не заморачиваются. Как можно обойти этот трабл, чтобы и пользователи писали, и спамерам отлуп был ?

>>>

Есть довольно посещаемый форум на mod_perl+mysql. Используется очень старый, но надежный движок wwwthreads, частично дописанный и вручную заштопанный. С недавнего времени начались проблемы с хостингом, на больших темах (где кол-во сообщений болше 20) при просмотре в режиме, когда на странице показываются все сообщения в теме сразу возникает ошибка 502 Bad Gateway. Сначала у провайдера был заказан персональный mysql-сервер, затем сам сайт переведен на новую платформу, где стало работать все заметно быстрее. Но проблема сохраняется. Было выяснено, что причина этой ошибки - простановка куки для прочитанных сообщений. Как отписался провайдер: "Проблема заключается в том, что Ваш форум генерит чрезмерно большие куки. Стандартный размер буфера, который необходим для передачи заголовков установлен у сервера Apache - 8 кБайт. У нас он увеличен до 16 кБайт. Больше мы сделать не можем."
Было предложено или переписать скрипт, или отказаться от куки. Но как не ковырялся, вроде бы в скрипте все грамотно:
# if( ($mode eq "flat") || ($wwwthreads::config{'postlist'} eq "flat") ){
# for (my $i = 0; $i< $checkreplies; $i++){
# my ($Marknumber) = $sth -> fetchrow_array;
# my $check = ",$Marknumber,";
# if( (!($read =~/$check/)) && ($posted > $unread) ) {
# $notread{$Marknumber} = "true";
# $read = $read.",$Marknumber,";
# wwwthreads::set_cookie($bname,"$read",0);
# }
# }
# }

В режиме показа одного сообщения куки проставляется точно так же, но без цикла. И ошибки не появляются. Смущает, что даже при помещении сообщения в тему иногда возникает та же ошибка. А там проставляется только одному сообщений статус прочитано.
Может провайдер немного лукавит и из-за недостатка ресурсов сваливает вину на скрипты ?

>>>

Поставили такую задачу, что и не знаю откуда браться. Есть во внутренней сети терминальный сервер, гейт на Debian в инете. Для доступа пользователей снаружи к терминальному серверу использовался stunnel, просто и без заморочек. Ключ у пользователя, ключ на гейте, гейт уже прокидывает пользователей на терминальный сервер. Но начальство загорелось новой идеей. чтобы ключ этот был аппаратным, да еще желательно динамически меняющимся. Где такое искать, и как пользовать - все перерыл уже, не могу найти. Кто-нибудь может посоветовать в этом направлении ?

Пставили с Debian и в инсталляторе не указали что надо поставить C++. И совершенно не помню название пакета, как его доставить через apt-get ?

Есть Postfix, и есть пользователь, для которого почта не нужна. Как сделать так, чтобы почта не принималась для этого пользователя вообще,т.е. не перенаправлялась в /dev/null, а именно давался отлуп No such user ?

Пробегала ссылка, как Апач настроить, чтобы на одном виртуальном хосте часть директорий работала по 80 порту, а часть 443. Сейчас никак найти не могу, если кто знает где, пошлите меня туда же...

Уже пару лет мучаюсь - не могу победить такую проблему. Есть Debian, два канала в интернет, один выход в локальную сеть. Настроено так, чтобы все исходящие соединения шли по основному каналу через интерфейс eth1, а все сервисы (http, ftp, почта) сидят на интерфейсе eth2. Так вот, и локальной сетки я не могу даже пинговать внешние IP-адреса, и соответсвенно увидеть свои сайты. Для http это решается сейчас через squid, запросы к ftp редиректю на внутренний IP сервера. А теперь поднял https, так тут ни прокси, ни редирект уже не помогает.
Вот так организована работа с двух каналов:

IPBIN="/bin/ip"

$IPBIN rule add from $EXTIP1 table inet1
$IPBIN rule add from $EXTIP2 table inet2
$IPBIN route add $NET1 dev eth1 src $EXTIP1 table inet1
$IPBIN route add default via $GATE1 table inet1
$IPBIN route add $NET2 dev eth2 src $EXTIP2 table inet2
$IPBIN route add default via $GATE2 table inet2
$IPBIN route add $NET1 dev eth1 src $EXTIP1
$IPBIN route add $NET2 dev eth2 src $EXTIP2
$IPBIN route del default via $GATE2
# Канал 2
$IPBIN route del default via $GATE2
# Канал 1
$IPBIN route add default via $GATE1
$IPBIN route flush cache

Перерыл кучу ман, вроде все должно работать, а не работает..

Ставлю на один из виртуальных серверов SSL авторизацию. Пересобрал Апач, сгенерил сертификаты. Через IE нормально заходит, показывает данные сертификата, а через Оперу - висит, и ошибка (110) Connection timed out.
Чувствую, что напортачил в конфиге Апача, но вот где ?
---- httpd.conf -----
.....
<IfDefine SSL>
Listen 80
Listen 443
</IfDefine>
.....
<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
</IfDefine>
.....
<IfModule mod_ssl.c>
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/usr/local/apache/logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/usr/local/apache/logs/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog /var/log/httpd/ssl_engine_log
SSLLogLevel info
</IfModule>
.....
# Дальше описания серверов
.....
<IfDefine SSL>
NameVirtualHost www.server.ru:443
<VirtualHost www.server.ru:443>
ServerAdmin admin@server.ru
DocumentRoot /home/httpd/server.ru/html
ServerName www.server.ru
ServerAlias og.server.ru
ServerAlias server.ru
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/apache/conf/ssl.crt/slonru.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/slonru.key
SSLCACertificateFile /usr/local/apache/conf/slonru-ca.crt
SSLCARevocationFile /usr/local/apache/conf/ssl.crl/slonru.crl
SSLOptions +StdEnvVars
SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0

ErrorLog /var/log/httpd/server.ru.error_log
CustomLog /var/log/httpd/server.ru.access_log combined
ScriptAlias /cgi/ /home/httpd/server.ru/cgi/
ScriptAlias /cgi-bin/ /home/httpd/server.ru/cgi-bin/
ScriptAlias /cgi-admin/ /home/httpd/server.ru/cgi-admin/
ScriptAlias /forum/ /home/httpd/server.ru/forum/

<Directory /home/httpd/server.ru/html>
SSLRequireSSL
SSLOptions +FakeBasicAuth +StrictRequire
Options Indexes Includes
AllowOverride FileInfo AuthConfig
order allow,deny
allow from all
</Directory>

<Directory /home/httpd/og3.boston.ru/cgi>
AllowOverride FileInfo AuthConfig
Options SymLinksIfOwnerMatch ExecCGI
</Directory>
</VirtualHost>

В логах ничего при коннекте оперой... Хэлп !

Хотел запретить юзерам скачивать определенные файлы по FTP, через сквид не вышло. Поставил jftpgw и с удивлением обнаружил, что в конфиге нет возможности настройки ограничений по контенту. Как быть ?

Даже не знаю в этот ли форум вопрос. Есть сложная ситуация: гейт (он же прокси) на Debian. Есть терминальный сервер под WIN2000, и второй DHCP сервер тоже под Win2000 в одном домене. Есть куча пользователей, сидящих либо на своих компах, либо на терминалах. IP у всех, понятное дело, динамические. Как собрать статистику по сайтам на каждого пользователя ? Ситуация усугубляется тем, что на терминалах нет IE, пользуются либо Firefox, либо Opera, на компах пользуются всем подряд. Т.е. прикрутить авторизацию к сквиду не получается, работает только с IE.

Есть Debian и устновлен OpenSSH. В последнее время достали попытки хацкеров подобрать пароль, брутфорсят по часу и больше. Как сделать, чтобы после нескольких неудачных попыток на определенное время хост блокировался ?

Хочу поставить сервер с webmailом самым простым на Debian. Требования такие: почта пользователя должна показываться, но оставаться доступной для скачивания по POP3 клиентами, а из возможностей нужно только отсылать и отвечать на письма. И при этом не на PHP, а на перл. Есть что готовое подобное ?

Что-то не въеду никак, можно bind заставить одновременно держать и master и slave зону одного домена ? При условии что к серверу подключено два канала, т.е. есть два внешних IP.

Стоит у меня связка Postfix+Amavisd+SpamAssassin. До вчерашнего дня все работало отлично, bayes-фильтр работал. Периодически собирал кучку проскакивающего спама и обучал его sa-learn. Вчера сделал так же. Напрягло, что sa-learn как-то задумался гораздо дольше обычного. И после этого спам повалил ! Смотрю логи - а там BAYES_ фильтром и не пахнет. Что могло произойти ? Может из-за размера базы фильтра ? bayes_seen размером 667килобайт, bayes_toks - 5.3мегабайта. Как починить ? Уж очень не хочется грохать её и заново обучать...

Помогите советом, хочу пользователям запретить качать всякие фильмы и образы дисков, а то достали уже.

В squid.conf прописал:
acl video url_regex \.avi$ \.mpeg$ \.mpg$ \.mov$ \.iva$ \.gpm$
http_access deny intranet video
Из броузера все замечательно, denied (при условии хождения через squid). Но всякие getright и edonkey продолжают делать свое черное дело.
Всех принудительно заворачиваю на прокси:
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 20 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 21 -j REDIRECT --to-port 3128
По HTTP все нормально, а по FTP вообще ничего не работает, даже оглавление не показывает :(.
Вообщем, как прикрыть все возможные случаи ?

Захотели у меня начальники из дома да из-за границы во внутреннюю сеть лазать, программу складскую-бухгалтерскую запускать, да экселевые файлы читать. Нет проблем, организовал Windows 2000 Server, на Linux-гейте pptp поднял, настроил на их ноутбуках VPN-подключение и Terminal Client. Сижу и радуюсь. А зря. Не работает у них через домашнего провайдера VPN, не проходит траффик. Посоветйте, что можно еще организовать в этом плане, выносить Terminal Server во внешнюю сеть ну очень не хочется. Да, при этом ставится условие, что IP клиента заранее неизвестен. Еще они хотят хитрую вещь с шифрованием временем жизни паролей, но это после...

Вопрос может не совсем к линуксу... Начал юзеров пересаживать на тонких клиентов. Сервер - Win2000. Гейт с проксей на Debiane. И сразу возник вопрос с контролем за использованием инета. Раньше было просто, все обращались через сквид, своим скриптом перекидывал лог в MySQL и делал с ним что хотел. А теперь получается, что все обращения идут только с одного IP - с терминал-сервера. Как бы теперь их прищучить ? С виндовым серваком дела раньше никогда не имел, вот и спрашиваю, как народ решает это ?

Примотал все на скорую руку, вроде часть спама отлавливает, но... Если я посылаю сам себе письмо (или на свои алиасы) - то возникает три ситуации. Если письмо обычное и после проверки получает Hits=0, то оно нормально приходит. Если письмо спамовое и Hits больше чем нужно для отбрасывания, то тоже нормально, письмо не доходит, на spamalert высылается предупреждение. А вот если письмо спамовое, т.е. Hits>0, но меньше чем нужно, чтобы отбрасывать его (т.е. по идее оно должно доходить, но в заголовке стоять результаты проверки) - то оно исчезает. Ни ответа, ни привета. По логам вижу - нормально отслалось с localhost на localhost. А куда пропало - не видно. И такая ситуация возникает именно когда я шлю от себя к себе или на свои алиасы. Если послать к другому пользователю - все ок. Не сталкивались ?

Хочу завести некоторые адреса (или алиасы) только для внутренней почты, чтобы снаружи письма туда не падали, лучше всего отлуп получали в момент коннекта. Как бы это прикрутить ?

Стал прикручивать spamassassin. Поставил amavisd-new, в master.cf добавил строки типа:
smtp-amavis unix - - - - 2 smtp -o smtp_data_done_timeout=1200 -o disable_dns_lookups=yes......
localhost:10025 inet n - - - - smtpd -o content_filter= -o.......
Перезапустил постфикс и не доделав, ушел домой. Всю ночь почта не приходила. Ну фиг с ней, с утра хотел пока все на место вернуть. Закомментировал эти строки, а в логи все равно каждую минуту кидается:
Jun 9 11:21:51 gw postfix/qmgr[332]: warning: connect to transport smtp-amavis: Connection refused

Куда еще эти настройки прописались ? Вроде бы ничего больше не правил.