LINUX.ORG.RU

Сообщения mrrc

 

Не отправляются письма на yahoo.com

Форум — General

Столкнулись с проблемой по отправке сообщений с нашего почтового сервера на адреса в *@yahoo.com, проблема обнаружилась сегодня, хотя судя по глубине логов почтового сервера ей уже как минимум с неделю (если не больше).

Любая попытка отправки сообщения в логе нашего Sendmail-а сопровождается следующим, меняются только сервера в *.yahoodns.net:

Apr  5 19:05:15 mrrc sm-mta[2035]: w35G5A1c002031: to=<obninsktravel@yahoo.com>, ctladdr=<admin@mydomain.ru> (1227/1227), delay=00:00:05, xdelay=00:00:04, mailer=esmtp, pri=32440, relay=mta5.am0.yahoodns.net. [66.218.85.139], dsn=4.0.0, stat=Deferred: Name server: mta5.am0.yahoodns.net.: host name lookup failure

После чего спустя четыре часа неудачных попыток доставить сообщения, приходит отрыжка вида

   ----- Transcript of session follows -----
... while talking to mta6.am0.yahoodns.net.:
>>> MAIL From:<admin@mydomain.ru> SIZE=833
<<< 421 4.7.0 [TSS04] Messages from 80.245.2ХХ.ХХХ temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
... while talking to mta7.am0.yahoodns.net.:
>>> MAIL From:<admin@mydomain.ru> SIZE=833
<<< 421 4.7.0 [TSS04] Messages from 80.245.2ХХ.ХХХ temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
... while talking to mta5.am0.yahoodns.net.:
>>> MAIL From:<admin@mydomain.ru> SIZE=833
<<< 421 4.7.0 [TSS04] Messages from 80.245.2ХХ.ХХХ temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
<elenatsyb@yahoo.com>... Deferred: Name server: mta5.am0.yahoodns.net.: host name lookup failure
Warning: message still undelivered after 4 hours
Will keep trying until message is 5 days old

Казалось бы становится понятно, что наши отправления вызвали беспокойство сервисов yahoo.com, вследствие чего произошла блокировка прохождения от нас почтовых сообщений.

Но я перерыл весь англоязычный сайт Yahoo в поиске инструментария по выносу нашего IP\домена почтовика из серо-черных списков почтового сервиса Yahoo, но все безуспешно.

Может кто сталкивался или знаком с процедурой Yahoo, как написать им фидбек с описанием проблемы и просьбой наладить прохождение почты?

 ,

mrrc
()

Вопрос по шейпингу посредством ipfw на freebsd

Форум — Admin

Не получается разобраться с проблемой, подскажите пути решения и где я не прав. FreeBSD 8.2+natd+ipfw В организации есть общий канал, порядка 80Мбит, в некоторых локальных подсетях установлены роутеры\точки доступа wi-fi, используемые адреса у которых хотелось бы ограничить по скорости), ну и чтобы на других пользователей ограничения ни коем образом не сказывались. Предполагаю реализовать следующим образом (пока с использованием одной таблицы, у каждого адреса точки должны быть свои 512Кбит):

     
 #!/bin/sh 
  
         fwcmd="/sbin/ipfw" 
  
         ${fwcmd} -f flush 
         ${fwcmd} -f pipe flush 
 #      ${fwcmd} -f queue flush 
         ${fwcmd} table 1 flush 
  
 #      ${fwcmd} pipe 1 config bw 512Kbit/s buckets 128 mask dst-ip 0x000000ff 
 #      ${fwcmd} pipe 2 config bw 512Kbit/s buckets 128 mask src-ip 0x000000ff 
         ${fwcmd} pipe 1 config bw 512Kbit/s buckets 128 mask dst-ip 0xffffffff 
         ${fwcmd} pipe 2 config bw 512Kbit/s buckets 128 mask src-ip 0xffffffff 
         ${fwcmd} add 11 pipe 1 ip from any to table\(1\) out 
         ${fwcmd} add 12 pipe 2 ip from table\(1\) to any in 
         ${fwcmd} table 1 add 192.168.0.200 
         ${fwcmd} table 1 add 192.168.2.30 
         ${fwcmd} table 1 add 192.168.0.222 
         ${fwcmd} table 1 add 192.168.9.30 
         
         ...     
Какое-то время работает исправно, после у всех адресов, помещенных в table, инет встает колом, т.е. перестают грузиться страницы вообще, при этом тот же пинг проходит ровно. Убираешь IP из таблицы, все нормализуется. Если в таблицу добавить новый IP, то к нему применяются ограничения и он работает в рамках положенной скорости совершенно правильно. Ощущение, что забиваются то ли кэши какие, то ли очереди, таблицы, кто может подсказать куда копать?

 

mrrc
()

Проброс портов во внутреннюю сеть

Форум — Admin

Добрый день,

Для возможности дистанционной диагностики мед.оборудования, стоит задача пробросить вовнутрь локальной сети, где оно установлено, подключения с внешнего IP-шника. Инженером указан список требуемых портов, которые требуются для работы:

500 UDP
4500 UDP
50 IP (ESP)

На шлюзе с внешним IP используется FreeBSD 8.2, natd, ipfw. С первыми двумя портами udp более менее схема проброса понятна (хотя до практической реализации еще не дошло), т.к. вызывает опасение последний указанный протокол ESP. Как нужно описать правила его для проброса, у кого-то есть рабочие примеры?

 , ,

mrrc
()

Обезопасить себя: создание образа диска сервера с FreeBSD

Форум — General

По роду деятельности часто уезжаю на неделю-две, оставляя имеющиеся подчиненные сервера с FreeBSD в организации (почтовый сервер с днс, шлюз) на свой страх и риск. Думаю, как бы подстраховаться на случай возможного выхода из строя жесткого диска именно в момент моего продолжительного отсутствия, чтобы оставшиеся администраторы сети могли самостоятельно своими силами восстановить работоспособность данного критичного для функционирования всей организации оборудования. Пока видится возможным делать периодический бэкап всего жесткого диска сервера с FreeBSD посредством Acronis True Image, образ которого в последствии можно было раскатать на такой же по характеристикам новый жесткий диск, тем самым приведя сервер в рабочее состояние, пусть и с данными на момент последнего сделанного бэкапа, не дожидаясь моего возвращения.

Сервера из себя представляют обычные стационарные компьютеры, с единичными жесткими дисками в каждом. А диск как раз и является самым уязвимым звеном в комплексе оборудования. Какие будут соображения в свете написанного?

mrrc
()

Запрет потокового видео и аудио в Squid

Форум — Admin

Приветствую, весьма заезженная тема, судя по массе найденных обсуждений на сей счет, но явно рабочих приемом во всем найденном многообразии нет, как ни странно.

Нужно максимально сузить возможность пользователям пользоваться он-лайн радио и просмотром видео в организации, ибо сотрудники обнаглели в конец. В частности с преуспевающего в этом googlevideo.com, ну и т.д.

Отсекание мультимедийных форматов файлов имеется, но в текущих реалиях совсем не эффективно. Порылся в направлении фильтрации по типу содержимого, но существенного эффекта не добился.

acl cont-type-video rep_mime_type Content-Type video
acl cont-type-audio rep_mime_type Content-Type audio
acl inetradio_rep rep_mime_type ^application/x-mms-framed$ ^application/vnd.ms.wms-hdr.asfv$
acl inetradio_req req_mime_type ^application/x-mms-framed$ ^application/vnd.ms.wms-hdr.asfv$
acl StreamMedia rep_mime_type ^.*video.*
acl StreamMedia rep_mime_type ^.*audio.*

http_access deny inetradio_req
http_reply_access deny inetradio_rep
http_reply_access deny StreamMedia
http_reply_access deny cont-type-video
http_reply_access deny cont-type-audio
Какие приемы построения правил используете по данному вопросу? В частности по блокировке контента с googlevideo.com? Эффективным показалось использование acl video rep_mime_type application/octet-stream, но при этом было замечено срабатывание и на запросы с пользовательских машин от антивируса Касперского по обновлению баз.

Хотелось бы коллегиально попробовать составить оптимальный набор действующих правил по запрету прослушивания\просмотра аудио-видео контента на сайтах, дабы не забивать канал передачей паразитных данных.

Squid 3.1.14 FreeBSD 8.2

 , ,

mrrc
()

Серые списки: какой graylist прикрутить к Sendmail?

Форум — Admin

Хоту дополнить Spamassassin пустив перед ним greylist для дополнительной фильтрации. В портах обнаружил только /usr/ports/mail/milter-greylist, удобен в настройке и т.д., но ни в какую не хочет работать в связке с милтерами от Spamassassin-а, а именно spamass-milter 0.2.0 или milter-spamc 0.25, последние, после того как milter-greylist по истечению заданного времени пропускает сообщение дальше по цепочке, вылетают в корку. Мне так и не удалось решить эту проблему.

spamass-milter 0.3.0 работает в этой связке стабильно, но в нем есть один большой недостаток, который не позволяет его использовать в принципе, а именно:

В spamass-milter 0.2.0 обработанное письмо, не достигнувшее планки заданной ключом -rХ в параметрах запуска spamass-milter и превышающее значение заданное в required_hits конфигурационного файла Spamassassin-а local.cf, пересылалось пользователю указанному в значении -b spamass-milter. Версия 0.3.0 ведет себя по-другому, доставляет письмо на -b даже если набранные в результате проверки Spamassassin-ом баллы превышают значение заданное в -rХ. То есть, игнорирую этот ключ. Что, собственно, и не дает возможности использовать версию 0.3.0, т.к. загребать ежедневно к себе почту с ящика указанного в -b для проверки наличия там возможных "честных" писем нереально, в силу большого количества писем, попадающих туда. Когда же явный спам отсекается по -rХ, вопросов нет, десяток, другой в день просмотреть всегда можно.

Решением видится сменить сам milter-greylist на что-то аналогичное, стабильно работающее в общей связке фильтров.

Кто и что использует в качестве greylist у себя, имеющееся в портах? Для Sendmail еще вроде есть milter-gris, graymilter, smf-grey, правда в портах я их не нашел.

FreeBSD 4.11-STABLE, Sendmail 8.13.4

mrrc
()

Копирование почты с помощью sendmail

Форум — Admin

Приветствую,

Возникли вопросы относительно прочитанной статьи "Копирование почты с
помощью sendmail" (http://404.salut.ru/docs/sendmail/).

Мне требуется копировать всю отправляемую пользователями через
корпоративный почтовый сервер почту на некий отведенный под это ящик
для последующего анализа и разбора в случае необходимости.

Из прочитанного понял, что нужно воспользоваться 4-м предлагаемым
вариантом copymail.m4 для возможности указания в /etc/mail/copy-users
с каких IP-адресов (почему-то не почтовых ящиков, к сожалению, т.к.
тогда будет копироваться как исходящая, так и входящая к юзеру
почта..?) производить копирование отправляемой почты в предполагаемый
"backup".

Имею FreeBSD 4.7-STABLE, штатный Sendmail 8.12.6

Вроде все сделал по написанному, создал:

/usr/share/sendmail/cf/mailer/copymail.m4 (Вариант 4)

Скопировал:

/usr/share/sendmail/cf/cf/generic-bsd4.4.mc
в
/usr/share/sendmail/cf/cf/sendmail.copy.mc

добавил туда:
define(`COPYMAIL_MAILBOX',`backup')
define(`NOCOPY_CONFIG',`/etc/mail/sendmail.cf')
MAILER(copymail)

получилась следующая последовательность:
divert(-1)
divert(0)dnl
VERSIONID(`$Id: generic-bsd4.4.mc,v 8.10 1999/02/07 07:26:02 gshapiro Exp $')
OSTYPE(bsd4.4)dnl
DOMAIN(generic)dnl
define(`COPYMAIL_MAILBOX',`backup')dnl
define(`NOCOPY_CONFIG',`/etc/mail/sendmail.cf')dnl
MAILER(local)dnl
MAILER(smtp)dnl
MAILER(copymail)dnl

После делаю из sendmail.copy.mc sendmail.copy.cf:

make install-cf CF=sendmail.copy

корректно операция не проходит..

rm -f sendmail.copy.cf
m4 ../m4/cf.m4 sendmail.copy.mc > sendmail.copy.cf || ( rm -f sendmail.copy.cf && exit 1 )
chmod 444 sendmail.copy.cf
../../devtools/bin/install.sh -c -o root -g bin -m 0444 sendmail.copy.cf /etc/mail/sendmail.cf
../../devtools/bin/install.sh:No such file or directory
*** Error code 1

Stop in /usr/share/sendmail/cf/cf.

но sendmail.copy.cf создается, копирую его руками в
/etc/mail/sendmail.copy.cf

Запускаю Sendmail так:
/usr/sbin/sendmail -L sm-mta -bd -C /etc/mail/sendmail.copy.cf
/usr/sbin/sendmail -q30m -C /etc/mail/sendmail.cf


ЧТО ПРОИСХОДИТ:

Если в /etc/mail/copy-users указан IP машины или ящик, с которого
нужно (разрешено) производить копирование почты в backup во время
отправки пользователем, а отправить почту с незанесенного в copy-users
IP или адреса, то почта не доставляется вообще с такими сообщениями в
maillog:

Mar 2 23:23:56 alex sm-mta[399]: h22KNsmK000399: from=<admin@alex.mrrc.obninsk.ru>, size=494, class=0, nrcpts=1,
msgid=<13921753125.20030302232413@alex.mrrc.obninsk.ru>, proto=ESMTP, daemon=MTA, relay=server [10.0.0.1]
Mar 2 23:24:27 alex mail.local: lockmailbox /var/mail/user failed; error code 75
Mar 2 23:24:27 alex sm-mta[400]: h22KNsmK000399: to=<user@alex.mrrc.obninsk.ru>, ctladdr=<admin@alex.mrrc.obninsk.ru>
(1005/1005), delay=00:00:31, xdelay=00:00:30, mailer=local, pri=30746, dsn=4.0.0, stat=Deferred: local mailer
(/usr/libexec/mail.local) exited with EX_TEMPFAIL

Если указать почтовый ящик (кстати, что значит в виде
user@FQDN-domen?) или IP с которого после произвести отправку почты,
все происходит нормально, отправляемая почта копируется помимо
отправки и в ящик backup.

Мне знакома эта ошибка в maillog, что-то вспоминается про какой-то
ключ "-S", который где-то нужно указать при сборке .cf, но могу и
ошибаться.

mrrc
()

Как примонтировать дискету в FreeBSD

Форум — Admin

Требуется примонтировать дискету записанную под каким-то старым линуксом на медицинском ренгенаппарате, насколько мне известно.

mount_msdos /dev/fd0a /mnt здесь не проходит ес-но, mount_fdesc показывает какую-то ерунду, хотелось бы попробовать все же прочесть дискету, как еще можно попытаться выполнить монтирования устройства?

mrrc
()

SARG: отчеты по «Дата/Время»

Форум — Admin

Вызывает недопонимание следующее, в отчетах по "Дата/Время" у отдельно взятого пользователя в одной часовой ячейке за некий день может фигурировать значение большее, чем предполагаемо возможное, как я понимаю H:M:S 0.59.59, то есть за один час по идее не должно быть наработано более 59 минут.

Встречаются же дни, в которых за отдельно взятый час можно увидеть 2:52:44, 1:58:18 и т.д., как такое может быть, по какому принципу производится расчет времени?

mrrc
()

RAID & FreeBSD

Форум — Admin

Хотелось бы услышать отзывы по использованию RAID во FreeBSD 4.х для
дублирования и зеркалирования хранящихся на файл-сервере данных, а именно возможные подводные камни во время установки системы и во время работы.

Планируем приобретение материнской платы с интегрированным на ней
контроллером RAID (наверное, RAID 1 будет достаточно?), что порекомендуете выбрать?

mrrc
()

host-gw : решение на SQUID & IPFW

Форум — Admin

Планируется поднятие сервера под FreeBSD 4.5, играющего роль шлюза в
интернет для клиентов в офисе. На нем также находится почтовый сервер
(domain.ru).

Условимся:
Интерфейс dc0 (IP 195.195.195.195) смотрит на ISP
Интерфейс rl0 (IP 10.0.0.1) смотрит во внутреннюю сеть.

Планирую все запросы пользователей (помимо почты) свести на SQUID, то есть дать им доступ со своих машин только на шлюз 10.0.0.1, порт 8080 (не считая портов почты), где будет сидеть SQUID, который и будет осуществлять доступ пользователей наружу в мир, работая при этом с прокси провайдера (parent).
Это облегчит контроль за их работой, позволит гибко осуществлять
разграничения необходимые, подсчет трафика и прочие вещи.

Почтой пользоваться скорее всего все будут с локального почтового сервера, расположенного на этом же шлюзе или через броузер, у кого есть ящики на серверах в инете.
Поднимать или нет natd пока не решил.

Ниже привожу первоначальный необходимый набор правил ipfw, по которым и хочу получить критику с вашей стороны.
Смысл их должен быть понятен в целом, может чего убрать или добавить нужно, либо иначе как-то решить тот или иной момент.


#!/bin/sh

fwcmd="/sbin/ipfw"


${fwcmd} -f flush

# Разрешаем трафик по local интерфейсу
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any

# защищаемся от спуфинга, типа так:
${fwcmd} add deny ip from 10.0.0.0/24 to any in via dc0
${fwcmd} add deny ip from 195.195.195.195 to any in via rl0

# Запрещаем прохождение фрагментированных пакетов
${fwcmd} add deny icmp from any to any frag

# Разрешаем прохождение ICMP пакетов
${fwcmd} add pass ICMP from any to any

# разрешаем traceroute
${fwcmd} add pass udp from 195.195.195.195 to any 33434-33523 out via dc0

# Разрешаем работу с SMTP протоколом
${fwcmd} add pass tcp from any to any 25
${fwcmd} add pass tcp from any 25 to any

# Squid port 8080
${fwcmd} add pass tcp from 10.0.0.0/24 to 10.0.0.1 8080
${fwcmd} add pass tcp from 10.0.0.1 8080 to 10.0.0.0/24

# Squid ISP
${fwcmd} add pass tcp from 195.195.195.195 to ip_isp_squid 3128,3130
${fwcmd} add pass tcp from ip_isp_squid 3128,3130 to 195.195.195.195
${fwcmd} add pass udp from 195.195.195.195 to ip_isp_squid 3130
${fwcmd} add pass udp from ip_isp_squid 3130 to 195.195.195.195

# Разрешаем работу по портам 20,21,80 напрямую, при неудаче через
ip_isp_squid
${fwcmd} add pass tcp from 195.195.195.195 to any 20,21,80
${fwcmd} add pass tcp from any 20,21,80 to 195.195.195.195

# Разрешаем работу с DNS серверами
${fwcmd} add pass tcp from any to any 53
${fwcmd} add pass tcp from any 53 to any
${fwcmd} add pass udp from any to any 53
${fwcmd} add pass udp from any 53 to any

# Разрешаем забор почты по POP3 протоколу
${fwcmd} add pass tcp from any to any 110
${fwcmd} add pass tcp from any 110 to any

# Разрешаем доступ по ssh
${fwcmd} add pass tcp from good_ip to 195.195.195.195 22
${fwcmd} add pass tcp from 195.195.195.195 22 to good_ip

# Deny all log
${fwcmd} add deny log all from any to any


Знаю, что нужно использовать keep-state и check-state в связке с правилами ${fwcmd} add pass udp from any ХХ to any, иначе я даю доспут к своему шлюзу откуда угодно по tcp\udp.

Как это все правильнее прописать, хотелось бы примеры данных правил услышать по моему случаю.

mrrc
()

Несколько вопросов по ProFTPD

Форум — Admin

Меня интересует следующее.

1. Поддерживает ли ProFTPD передачу данных пользователем с ftp на ftp напрямую, к примеру пользуясь FlashFXP? Если да, то как включить сие?

2. Можно ли не отображать принадлежность размещенных на ftp-сервере файлов (в wu-ftpd показывался только UID владельца файлов), а то сразу видно имя пользователя, который владеет файлами, как-то не секурно на мой взгляд.

3. Как указать определенный Umask, например, в секциях <Directory> <Anonymous>, чтобы он относился только к созданию директорий, к записываемым файлам отношения не имел и они создавались с атрибутами
заданными в целом для сервера.

Пишу в
...
<Directory incoming/>
# Normally, we want files to be overwriteable.
AllowOverwrite off
UserOwner ftpadmin
Umask 002
<Limit WRITE>
DenyAll
</Limit>
<Limit STOR MKD>
AllowAll
</Limit>
</Directory>
</Anonymous>

В этом случае создавамым файлам также присваивается атрибут w для группы.

mrrc
()

Вопрос по ProFTPD, он поддерживает site to site?

Форум — Admin

Интересует, поддерживает ли ProFTPD передачу данных с ftp на ftp напрямую минуя пользователя, к примеру используя FlashFXP?

mrrc
()

Напомните, как «накатить» порты во FreeBSD 4.х.х.?

Форум — Admin

Давненько не делал, помню, что создавал несколько конфигов в /etc каждый под определенное обновление, системы в целом, портов, чего-то еще там, после запускал обновление с некими ключами указывая нужный конфиг для обновления.

И как можно обновить выборочно какую-то определенную программу в портах?

mrrc
()

Завернуть запрос во внутреннюю серую сеть

Форум — Admin

Задача стоит следующая, есть что-то наподобие роутера под FreeBSD 4.4 с реальным IP, к нему подключена локальная сеть с серыми адресами, поднят natd.

В качестве алиаса поднял дополнительный реальный IP вдобавок к
существующему. Должно происходить следующее, при обращении на этот второй IP по порту, скажем 22 (ssh), запрос должен заворачиваться во внутреннюю сетку на адрес, 192.168.3.1 и обрабатываться уже на том сервере ожидающим запроса демоном.

Сейчас почему-то на запрос по 195.195.195.195 отвечает не внутренний сервер, как и должно быть, а первый с реальным IP, то есть не производится заворот на серый адрес при подключении.
В чем дело?

xl0 - внешний интерфейс
195.195.195.195 - реальный IP на внешнем интерфейсе
192.168.3.1 - адрес сервера внутри сети, на который нужно получить доступ.

ipfw add 01000 divert 22 tcp from any to 195.195.195.195 22 via xl0
ipfw add 01100 divert 22 ip from 192.168.3.1 to any via xl0
ipfw add 01200 allow tcp from any to 192.168.3.1 22 via any
natd -p 22 -n xl0 -redirect_port tcp 192.168.3.1:22 22


P.S. Какой диапазон портов нужно будет открыть для прокидки таким образом и ftp во внутрь?

mrrc
()

Исключение «двойного логина» юзера в pppd

Форум — Admin

Господа!
Необходимо не допускать одновременную работу нескольких пользователей по одному и тому же логину в системе.

Реализовать сие наверное правильнее используя /etc/ppp/auth-up, в котором допустим такой скрипт:


$con = `/usr/bin/w | /usr/bin/grep $user`;
@row_con = split(' ', $con);
$control = $row_con[0];
chomp($control);

if ($user eq $control) {
$kill = `/bin/kill -9 $pid`;
exit 1;
}


В переменную $user ранее закладывается логин юзера, который заходит в
систему и после сравнивается с результатом выполнения "w | grep $user" и если оба значения равны, то есть юзер с таким логином уже работает в системе на данный момент, то второго уже не пускает.

Но проблема в том, что если даже такого юзера нет в системе, то есть это первый логин пользователя с этим именем, его все равно не пускет из-за того, что в систему на "w" уже успевает попасть логин входящего пользователя, то есть получается что ЛОВИШЬ_КАК_БЫ_САМ_СЕБЯ.. :(

Как можно добиться желаемого, кто поделится примером?

FreeBSD 4.x, pppd 2.3.5

mrrc
()

Не пойму, объявился хакер что ли? pppd....

Форум — Admin

Имею FreeBSD 4.1.1 с поднятым pppd версии 2.3.11
Недавно заметил такую странную вещь.
Завелся какой-то юзер невидимка, который начал работать вечерами.

Заметил это следующим образом, по "ps ax" виден дополнительный запущенный процесс pppd на определенное устройство, например ttyd8, хотя по списку работающих в системе на данный момент юзеров никакого пользователя на линии d8 нет!
Нет ничего, только висящий процесс и соответственно занятый номер телефона. Сшибаешь этот процесс, запускается спустя время другой, на этой же или другой линии, то есть это не зомби и не прочие системные ошибки, а что-то имено интеллектуальное!

Вот пример запущенных процессов по ps ax, относящихся к pppd:

4056 dc Is+ 0:00.07 pppd auth refuse-chap require-pap login lock debug
87068 dg IWs+ 0:00.00 pppd auth refuse-chap require-pap login lock debug


Более того, у меня запускаются скрипты auth-up и auth-down во время
подключения\отключения пользователя, с записью имени последнего и прочей сопутствующей информации в файл. При подключении пользователя-невидимки эти скрипты не отрабатываются вовсе!
В /var/log/pppd.log каким-то нелепым образом "опускается" момент
авторизации, то есть не фиксируется логин подключающегося пользователя, как при подключении остальных, то есть опускаются примерно следующие строки авторизации:

...
Dec 25 23:19:03 mrrc pppd[3777]: rcvd [PAP AuthReq id=0x2 user="vasya"
password=<hidden>]
Dec 25 23:19:03 mrrc pppd[3777]: user vasya logged in
Dec 25 23:19:03 mrrc pppd[3777]: sent [PAP AuthAck id=0x2 "Login ok"]
...

Вот сессия подключения такого пользователя из /var/log/pppd.log:


Dec 25 22:56:25 mrrc pppd[3934]: pppd 2.3.11 started by root, uid 0
Dec 25 22:56:25 mrrc pppd[3934]: Using interface ppp1
Dec 25 22:56:25 mrrc pppd[3934]: Connect: ppp1 <--> /dev/ttydd
Dec 25 22:56:25 mrrc pppd[3934]: sent [LCP ConfReq id=0x1 <asyncmap 0x0>
<auth pap> <magic 0x72de0be6> <pcomp> <accomp>]
Dec 25 22:56:28 mrrc pppd[3934]: rcvd [LCP ConfReq id=0x3 <asyncmap 0xa0000>
<magic 0x6637d6> <pcomp> <accomp> <callback CBCP>]
Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfRej id=0x3 <callback CBCP>]
Dec 25 22:56:28 mrrc pppd[3934]: rcvd [LCP ConfReq id=0x4 <asyncmap 0xa0000>
<magic 0x6637d6> <pcomp> <accomp>]
Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfAck id=0x4 <asyncmap 0xa0000>
<magic 0x6637d6> <pcomp> <accomp>]
Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfReq id=0x1 <asyncmap 0x0>
<auth pap> <magic 0x72de0be6> <pcomp> <accomp>]
Dec 25 22:56:29 mrrc pppd[3934]: rcvd [LCP ConfNak id=0x1 <auth chap 80>
<magic 0x72de0be6>]
Dec 25 22:56:29 mrrc pppd[3934]: sent [LCP ConfReq id=0x2 <asyncmap 0x0>
<magic 0xaed288c3> <pcomp> <accomp>]
Dec 25 22:56:29 mrrc pppd[3934]: rcvd [LCP ConfAck id=0x2 <asyncmap 0x0>
<magic 0xaed288c3> <pcomp> <accomp>]
Dec 25 22:56:29 mrrc pppd[3934]: sent [IPCP ConfReq id=0x1 <addr
192.168.2.1> <compress VJ 0f 01>]
Dec 25 22:56:29 mrrc pppd[3934]: rcvd [CCP ConfReq id=0x1 < 12 06 00 00 00
01> < 11 05 00 01 04>]
Dec 25 22:56:29 mrrc pppd[3934]: Unsupported protocol 'Compression Control
Protocol' (0x80fd) received
Dec 25 22:56:29 mrrc pppd[3934]: sent [LCP ProtRej id=0x3 80 fd 01 01 00 0f
12 06 00 00 00 01 11 05 00 01 04]
Dec 25 22:56:29 mrrc pppd[3934]: rcvd [IPCP ConfAck id=0x1 <addr
192.168.2.1> <compress VJ 0f 01>]
Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x2 <compress VJ 0f
01> <addr 192.168.2.1> <ms-dns1 0.0.0.0> <ms-wins 0.0.0.0> <ms-dns3 0.0.0.0>
<ms-wins 0.0.0.0>]
Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfRej id=0x2 <ms-wins 0.0.0.0>
<ms-wins 0.0.0.0>]
Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfReq id=0x1 <addr
192.168.2.1> <compress VJ 0f 01>]
Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x3 <compress VJ 0f
01> <addr 192.168.2.1> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfNak id=0x3 <addr
192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfAck id=0x1 <addr
192.168.2.1> <compress VJ 0f 01>]
Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x4 <compress VJ 0f
01> <addr 192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfAck id=0x4 <compress VJ 0f
01> <addr 192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
Dec 25 22:56:32 mrrc pppd[3934]: local IP address 192.168.2.1
Dec 25 22:56:32 mrrc pppd[3934]: remote IP address 192.168.2.11


То есть все как бы нормально, "нечто" подключилось к системе и работает, присвоенный "ему" IP-адрес 192.168.2.11 пропинговывается нормально!


Что это такое вообще?

mrrc
()

i p f w

Форум — Admin

Как вот при 65535 правиле deny ip from any to any пользоваться ftp
непосредственно с самого сервера, ftp -p или pftp не прокатывают,
подключаешься без проблем, но просмотреть содержимое директории невозможно, Permission denied пишет.

Подключиться к самому серверу по ftp получается ес-но только в пассивном режиме, получилось то собственно только из Windows Commander-а, не из броузера, не из CuteFTP номер не прошел..

Также хотелось бы пользоваться командой fetch на сервере и делать
traceroute, что сейчас также невозможно.


${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

${fwcmd} add 00400 divert natd ip from 10.0.0.0/24 to any out via xl0
${fwcmd} add 00500 divert natd ip from any to 195.195.195.195 in via xl0

${fwcmd} add 01000 allow tcp from any to any 20,21,22,25,53,80,110,143
${fwcmd} add 02000 allow tcp from any 20,21,22,25,53,80,110,143 to any

${fwcmd} add 02100 pass udp from any to any 53
${fwcmd} add 02200 pass udp from any 53 to any

${fwcmd} add 02300 pass icmp from any to any
${fwcmd} add 02400 deny icmp from any to any frag


FreeBSD 4.4 + ipfw

mrrc
()

Антивирусная проверка smtp, http, ftp трафиков

Форум — Admin

Господа, хотелось бы все же услышать, чем народ пользуется для реализации сабжа под FreeBSD 4.x.x, дабы проверять все вышеозначенные потоки непосредственно на самом ИНТЕРНЕТ-шлюзе, ведь такие разработки уже имеют место быть.

Например, существует такой программный комплекс как InterScan VirusWall
(http://www.antivirus.com/products/isvw/ или http://ww.apl.ru/isvw.htm), который по заявлениям должен осуществлять требуемое. Хотел попробовать его на деле, скачал версию под Linux, т.к. под фрю ничего нет, но поставить под FreeBSD не смог, говорит не поддерживаю данную ОС...

Кто что еще видел в работе в этом плане, интересует именно проверка в
комплексе, три в одном, то есть всех трех основных потоков smtp, http, ftp.

Сейчас у меня работает клиент Drweb для sendmail-а, вот надо бы
определиться, приобретать его, но пока это только проверка почты, или же искать иное решение, которое бы позволило проверять все в комплексе, как и писалось выше.

mrrc
()

Крайне срочный вопрос по samba-е 2.2.2 под FreeBSD 4.4

Форум — Admin

Одним словом сегодня был мозговой штурм, времени всего лишь под завтрашнего обеда осталось, наступит "точка возможного возврата" так сказать.

Значение security = share, при этом в конце smb.conf прописаны расшариваемые папки на сервере с самбой, каждая со своими настройками безопасности и доступа, как видно из нижеследующего.

Итак, вот вопросы, которые необходимо разрешить:

1. Получается разграничивать доступ по IP адресам, с которых разрешен доступ к некой расшаренной папке, указывая в значении hosts allow необходимой папки соответствующий IP или несколько адресов, с которых доступ к этой папке разрешен, а как можно задать ДИАПАЗОН IP адресов, например, с 10.0.0.1 по 10.0.0.15, какой синтаксис написания в этом случае?

2. Как сделать доступ к некой папке используя авторизацию, например, хочу чтобы к каталогу doc_otd имел доступ только пользователь с именем smbuser, прописываю в свойствах этой паки значение valid users = smbuser, после при обращении к такой папке по сети с клиентской машины из под Win'98 выводится окно с предложением ввести пароль, но пароль не принимается никакой, из под W2K сразу ругается "\\Alex\doc_otd is not accessible. The specified network
password is not correct", в обоих случаях на консоль сервера выбрасывает сообщение от демона smb "smbd/password.c:authorise_login(906)" "authorise_login: rejected invalid user nobody".

Если удастся разрешить эти два вышеозначенных вопроса, дело можно считать выигранным.


[access]
comment = ACCESS
path = /usr2/basefile/access
read only = no
writable = yes
public = yes

[mb_300]
comment = MB_300
path = /usr2/basefile/mb_300
read only = no
writable = yes
public = yes
hosts allow = 10.0.0.1

[mb_400]
comment = MB_400
path = /usr2/basefile/mb_400
read only = no
writable = yes
public = yes

[doc_otd]
comment = DOC_OTD
path = /usr2/basefile/doc_otd
valid users = smbuser
read only = no
writable = yes
public = yes

[Distr]
comment = DISTR
path = /usr2/distr
read only = no
writable = no
public = yes

mrrc
()

RSS подписка на новые темы