Сообщения smokin

редирект https

Форум — Admin

Приветствую господа. Помогите советом. Есть сайт https://сайт.сом, использующий бесплатный сертификат от Let's Encrypt и выданный только для https://сайт.сом. Можно ли как нибудь замутить хитрый редирект с https://www.сайт.сом на https://сайт.сом, что бы не ругался браузер, или для https://www.сайт.сом необходимо обзаводится отдельным ssl сертификатом? мне кажется что я много хочу на халяву, но все же.. Сейчас стоит такое

RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ http://%1/$1 [R=301,L]

и в сhromium ошибки не происходит. Ругается фаерфокс...

https, redirect, ssl

smokin
(26.09.17 11:53:36 MSK)

10 комментариев

Help!!! segfault

Форум — Admin

Парни помогите.

Feb 24 14:57:08 iht kernel: amavisd[5049]: segfault at 802e0b97c ip 00007ff086582ba0 sp 00007fffc9e641e0 error 6 in libperl.so[7ff0864a$
Feb 24 14:57:08 iht kernel: amavisd[5028]: segfault at 802e0b97c ip 00007ff086582ba0 sp 00007fffc9e641e0 error 6 in libperl.so[7ff0864a$
Feb 24 14:57:09 iht kernel: amavisd[5069]: segfault at 802e0b97c ip 00007ff086582ba0 sp 00007fffc9e641e0 error 6 in libperl.so[7ff0864a$
Feb 24 14:57:10 iht kernel: amavisd[5071]: segfault at 802e0b97c ip 00007ff086582ba0 sp 00007fffc9e641e0 error 6 in libperl.so[7ff0864a$
Feb 24 14:57:11 iht kernel: amavisd[5074]: segfault at 802e0b97c ip 00007ff086582ba0 sp 00007fffc9e641e0 error 6 in libperl.so[7ff0864a$

............ + еже строк 30 с интервалом от секунду до нескольких секунд. Логватч иногда выплевывал что была ошибка, но это были единичные случаи (одна две в неделю, а то и реже) и все продолжало работать. Теперь начало падать и добавилось segfault на clamd dovecot postfix. Я понимаю что нужно начать с ОЗУ, но сейчас нельзя останавливать. Любые идеи. Спасибо!!

CentOS 6.5 8GB ОЗУ.

clamav-0.98-1.el6.x86_64
perl-5.10.1-136.el6.x86_64
amavisd-new-2.8.0-4.el6.noarch
postfix-2.6.6-2.3.el6.x86_64
dovecot-2.0.21-0_136.el6.x86_64
spamassassin-3.3.1-3.el6.x86_64

centos

smokin
(27.02.14 12:07:57 MSK)

10 комментариев

Стало приходить много спама.

Форум — Admin

Господа здравствуйте. Было все ОК. Пару недель назад началось, повалил спам. Сразу поменял final spam destiny с d_pass на d_discard. В ящике спама стало меньше, но он всеравно есть. Если уменьшить еще hits, боюсь порезать нужную почту. Подскажите пожалуйста, как мне справится с подобным безобразием?. Заметил что в 90% спамовых писем в логе присутствует 194.28.175.55 Привожу кусок лога. Это все спам.

Nov 12 12:23:44  amavis[18081]: (18081-02) Blocked SPAM {DiscardedInternal,Quarantined}, LOCAL [85.25.116.166]:55209 [194.28.175.55] <eko@rustin.com.ua> -> <my@postbox>, quarantine: spam-eL5MPeR2rgDA.gz, Message-ID: <a3f101cedf96$cfa97200$bfdaef3e@eko>, mail_id: eL5MPeR2rgDA, Hits: 9.704, size: 170875, dkim_sd=key2:rustin.com.ua,key1:rustin.com.ua, 1124 ms
Nov 12 12:23:44  amavis[17843]: (17843-10) Blocked SPAM {DiscardedInternal,Quarantined}, LOCAL [85.25.116.166]:55209 [194.28.175.55] <eko@rustin.com.ua> -> <my@postbox>, quarantine: spam-hI1GeE3uwSob.gz, Message-ID: <a3f101cedf96$cfa97200$bfdaef3e@eko>, mail_id: hI1GeE3uwSob, Hits: 9.704, size: 170875, dkim_sd=key2:rustin.com.ua,key1:rustin.com.ua, 1121 ms
Nov 12 12:25:22  amavis[18081]: (18081-03) Passed CLEAN {RelayedInternal}, LOCAL [5.79.74.16]:48787 [194.28.175.55] <mutna@gelioset.com.ua> -> <my@postbox>, Message-ID: <f9de01cedfa1$a282e8a0$865a1505@mutna>, mail_id: kz0BbNklUwub, Hits: 5.654, size: 253883, queued_as: BDB0C11A05F3, dkim_sd=key2:gelioset.com.ua,key1:gelioset.com.ua, 1196 ms
Nov 12 12:26:58  amavis[17843]: (17843-11) Passed CLEAN {RelayedInternal}, LOCAL [85.17.90.74]:55202 [194.28.175.55] <timerest@aqua-clubs.com.ua> -> <my@postbox>, Message-ID: <910d01cedf97$da60b630$8da1be84@timerest>, mail_id: D8mBTTov9A2i, Hits: 5.5, size: 93553, queued_as: D05A211A05F3, dkim_sd=key2:aqua-clubs.com.ua,key1:aqua-clubs.com.ua, 1375 ms
Nov 12 12:36:00 amavis[18081]: (18081-04) Blocked SPAM {DiscardedInternal,Quarantined}, LOCAL [217.12.220.200]:47630 [194.28.175.55] <qs@hotlins.com.ua> -> <my@postbox>, quarantine: spam-axSG8DBzp1CA.gz, Message-ID: <357901cedf92$2031ffd0$89da97bb@qs>, mail_id: axSG8DBzp1CA, Hits: 7.501, size: 71661, dkim_sd=key2:hotlins.com.ua,key1:hotlins.com.ua, 1520 ms

Хм.. эти адреса уже в вайтлист по autowhitelisted успели попасть.

amavis, postfix, spamassassin

smokin
(13.11.13 13:18:56 MSK)

3 комментария

htaccess forbidden

Форум — Admin

Здравия желаю! Ув господа подскажите мне пожалуйста. Есть шлюз, на нем прозрачный squid3, apache, postfix с обвесами. Все великолепно работает. Решил ограничить доступ к админке и редиректить тех кому разрешен доступ с 80 порта на 443 при помощью htaccess. С внешних адресов все впорядке. Кому разрешено, доступ имеют и редирект происходит. Из LAN кто ходит мимо прокси тоже, а вот те кого в прокси, получают forbidden. Вроде это и не критично, можно зиайти и по https, но всетаки... КОРОБИТ!

.htaccess

Options All -Indexes
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}:443/adm/$1
Order Deny,Allow
Deny from all
Allow from 192.168.1.
Allow from user1 ip, user2 ip, user3 ip

на всякий случай squid.conf

dns_nameservers 127.0.0.1

negative_ttl 1 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 1 minutes
hosts_file /etc/hosts
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

acl apache rep_header Server ^Apache
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.1.0/24
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgtm
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all

http_port 192.168.1.1:3128 transparent

error_directory /usr/share/squid/errors/ru

url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

cache_mem 512 MB
maximum_object_size_in_memory 512 KB
#cache_dir ufs /var/spool/squid 2048 16 265
cache deny all
cache_mgr post@my.domen
cache_effective_group squid
cache_effective_user squid
access_log /var/log/squid/access.log squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%	1440
refresh_pattern (cgi-bin|\?)    0	0%	0
refresh_pattern .               0	20%     4320

forbidden, htaccess

smokin
(22.05.13 17:05:14 MSK)

Подскажите понять логи named

Форум — Admin

С некоторых пор, точнее после обновления CentOS 6.3 до CentOS 6.4 в логе вижу довольно много такого (обратите внимани на время)

May  6 15:33:56 iht clamd[1475]: SelfCheck: Database status OK.
May  6 15:42:28 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 82.144.221.156#53
May  6 15:42:28 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 50.57.187.69#53
May  6 15:42:28 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 178.250.245.37#53
May  6 15:42:28 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 62.205.159.227#53
May  6 15:42:28 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 31.222.191.154#53
May  6 15:42:28 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 85.10.199.46#53
May  6 15:42:28 iht named[3404]: error (connection refused) resolving '73.54.198.88.psbl.surriel.com/A/IN': 82.94.250.75#53
May  6 15:42:30 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 82.144.221.156#53
May  6 15:42:30 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 62.205.159.227#53
May  6 15:42:30 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 178.250.245.37#53
May  6 15:42:30 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 50.57.187.69#53
May  6 15:42:30 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 85.10.199.46#53
May  6 15:42:30 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 31.222.191.154#53
May  6 15:42:31 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 62.205.159.227#53
May  6 15:42:31 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 82.144.221.156#53
May  6 15:42:31 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 178.250.245.37#53
May  6 15:42:31 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 85.10.199.46#53
May  6 15:42:31 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 50.57.187.69#53
May  6 15:42:31 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 31.222.191.154#53
May  6 15:42:33 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 62.205.159.227#53
May  6 15:42:33 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 82.144.221.156#53
May  6 15:42:33 iht named[3404]: error (unexpected RCODE 51) resolving 'key._domainkey.getasor.com.ua/TXT/IN': 178.250.245.37#53

В правилах iptables политка по умолчанию DROP

IN="eth0"  # LAN
iptables -A INPUT -i $IN -p tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -i $IN -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT

На CentOS 6.3 машина прорпботала буквально неделю, такого вроде бы небыло. LAN на 220 машин. Машина является шлюзом,почтой и сайтом.

named.conf

 
options {
    listen-on port 53 { localhost; 192.168.1.1; };
    directory "/var/named/";
    dump-file "data/cache_dump.db";
    statistics-file "data/named_stats.txt";
    memstatistics-file "data/named_mem_stats.txt";
    pid-file "/var/run/named/named.pid";
    version "Made in CHINA";
    listen-on-v6 { none; };
    allow-recursion {localhost; my-networks ; };
    allow-query { localhost; my-networks; };
//    allow-transfer { 192.168.1.2; };
    allow-transfer { none; };
//    forwarders { 8.8.8.8; 8.8.4.4; };
    empty-zones-enable no;
    bindkeys-file "etc/named.iscdlv.key";
};

acl "my-networks" {localhost; 192.168.1.0/24; };

        zone "." IN {
                type hint;
                file "/var/named/named.ca";
        };

	zone "myzone" IN {
                type master;
                file "/var/named/chroot/etc/myzone";
                allow-update { key rndckey; };
        };
        zone "1.168.192.in-addr.arpa" {
                type master;
                file "/var/named/chroot/etc/1.168.192.rev";
                allow-update { key rndckey; };
        };


include "/etc/named.rfc1912.zones";
include "/etc/rndc.key";

Зоны

$TTL 30
$ORIGIN 1.168.192.IN-ADDR.ARPA.

@	IN	SOA     зона.   почта.     (
                                        26052013 ;Serial
                                        604800   ;Refresh
                                        86400    ;Retry
                                        2419200  ;Expire
                                        604800 ) ;Negative Cache TTL

        IN	NS	ns.моя зона.

1	IN	PTR     gw.моя зона .
5	IN	PTR     router.моя зона.
....
....

$TTL 30
$ORIGIN моя зона.

@	IN	SOA     моя зона.    почта.     (
                                        26052013 ;Serial
                                        604800   ;Refresh
                                        86400    ;Retry
                                        2419200  ;Expire
                                        604800 ) ;Negative Cache TTL

        IN	NS              ns.моя зона.
        IN	MX	10	mail.моя зона.

gw	IN	A	192.168.1.1
webmail    IN	A	192.168.1.1
.....
......

netstat -ntlp|grep named

tcp        0      0 inet ip:53              0.0.0.0:*                   LISTEN      14294/named         
tcp        0      0 192.168.1.1:53              0.0.0.0:*                   LISTEN      14294/named         
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      14294/named         
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      14294/named

[root@iht etc]# nslookup 127.0.0.1
Server:		127.0.0.1
Address:	127.0.0.1#53

1.0.0.127.in-addr.arpa	name = localhost.

[root@iht etc]# nslookup 192.168.1.1
Server:		127.0.0.1
Address:	127.0.0.1#53

1.1.168.192.in-addr.arpa	name = gw.мой домен.

[root@iht etc]# nslookup мой домен
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
Name:	домен
Address: inet ip

А вот dig

dig 127.0.0.1

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> 127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 20915
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;127.0.0.1.			IN	A

;; AUTHORITY SECTION:
.			10800	IN	SOA	a.root-servers.net. nstld.verisign-grs.com. 2013050700 1800 900 604800 86400

;; Query time: 25 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue May  7 18:44:03 2013
;; MSG SIZE  rcvd: 102

dig 192.168.1.1

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> 192.168.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 17074
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;192.168.1.1.			IN	A

;; AUTHORITY SECTION:
.			10800	IN	SOA	a.root-servers.net. nstld.verisign-grs.com. 2013050700 1800 900 604800 86400

;; Query time: 17 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue May  7 18:44:30 2013
;; MSG SIZE  rcvd: 104


[root@iht etc]# dig домен

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> мой домен
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34278
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 6

;; QUESTION SECTION:
;домен.			IN	A

;; ANSWER SECTION:
домен.		3600	IN	A	inet ip

;; AUTHORITY SECTION:
домен.		2642	IN	NS	ns2.imena.com.ua.
домен.		2642	IN	NS	ns1.imena.com.ua.
домен.		2642	IN	NS	ns3.imena.com.ua.

;; ADDITIONAL SECTION:
ns3.imena.com.ua.	3599	IN	A	88.81.249.200
ns3.imena.com.ua.	70908	IN	AAAA	2a01:758:fffc:6::2
ns2.imena.com.ua.	3599	IN	A	5.9.197.88
ns2.imena.com.ua.	70908	IN	AAAA	2a01:4f8:161:73e1:5:9:197:80
ns1.imena.com.ua.	3599	IN	A	195.39.196.43
ns1.imena.com.ua.	70908	IN	AAAA	2a02:2278:70eb:199::196:43

Когда все настраивал dig ошибок не давал. Пните в нежно в нужное русло. Пожалуйста.

centos, named

smokin
(07.05.13 20:12:12 MSK)

4 комментария

RSS подписка на новые темы