Сообщения SimbioS

Postfix and g suite как релей.

Приветствую форумчани.
Столкнулся с проблемой отправки почты с postfix в качестве релея выступает smtp-relay.gmail.com.
Получаю ошибку:
550-5.7.1 Invalid credentials for relay [xxx.xx.xx.125]. The IP address you've 550-5.7.1 registered in your G Suite SMTP Relay service doesn't match domain of 550-5.7.1 the account this email is being sent from. If you are trying to relay 550-5.7.1 mail from a domain that isn't registered under your G Suite account 550-5.7.1 or has empty envelope-from, you must configure your mail server 550-5.7.1 either to use SMTP AUTH to identify the sending domain or to present 550-5.7.1 one of your domain names in the HELO or EHLO command

Домен mysite.com
TLS включён, HELO прописано в 3 местах
main.cf
smtpd_banner = $myhostname ESMTP
smtp_always_send_ehlo = yes
smtp_helo_name = mysite.com

master.cf
smtp unix - - y - - smtp
-o smtp_helo_name=mysite.com
Но при этом всё равно выдаёт в HELO IP xxx.xx.xx.125
postconf -n

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
compatibility_level = 2
dovecot_destination_recipient_limit = 1
inet_interfaces = all
inet_protocols = ipv4
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
maximal_backoff_time = 8000s
maximal_queue_lifetime = 7d
minimal_backoff_time = 1000s
mydestination =
mydomain = mysite.com
myhostname = mysite.com
mynetworks = 127.0.0.0/8
myorigin = $mydomain
readme_directory = no
recipient_delimiter = +
relayhost = smtp-relay.gmail.com:587
smtp_always_send_ehlo = yes
smtp_helo_name = mysite.com
smtp_helo_timeout = 60s
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = encrypt
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_wrappermode = yes
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_hard_error_limit = 12
smtpd_recipient_limit = 16
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_recipient reject_unauth_destination reject_unknown_recipient_domain reject_unauth_pipelining permit
smtpd_relay_restrictions = reject_unauth_pipelining permit_mynetworks permit_sasl_authenticated reject_non_fqdn_recipient reject_unauth_destination reject_unknown_recipient_domain permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_local_domain = srv-web-1
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_sasl_authenticated permit_mynetworks warn_if_reject reject_non_fqdn_sender reject_unknown_sender_domain reject_unauth_pipelining permit
smtpd_soft_error_limit = 3
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/postfix/ssl/mysite.com.cert
smtpd_tls_key_file = /etc/postfix/ssl/mysite.com.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
unknown_local_recipient_reject_code = 450
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf mysql:/etc/postfix/mysql-virtual-email2email.cf
virtual_gid_maps = static:2222
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_minimum_uid = 2222
virtual_transport = smtp:smtp-relay.gmail.com:587
virtual_uid_maps = static:2222

Прошу помощи разобраться в этой проблеме. Спасибо.

dovecot, postfix, relay, sasl, tls

SimbioS
(26.05.18 11:30:32 MSK)

4 комментария

Трабл с 127.0.53.53

Приветствую.
Столкнулся с проблемой при резолве доменного имени в нутри локальной (частной) сети.
Домен cn.energy .
В сети bind+dhcpd на gentoo, второй бинд на другом серваке.
При попытке достучаться по имени к серверам - например srv-gw(srv-appl).cn.energy я тыкаюсь на ИП 127.0.53.53
Прочитал:
https://www.icann.org/news/announcement-2-2014-08-04-ru
http://www.webnames.ru/blog/1663

Но не понял как решить вопрос.
В данный момент все ВПНщики столкнулись с такой траблой.
ВПН выдаёт адрес шлюза+днс.

Домен cn.energy сейчас свободен (был), я подал заявку на его регистрацию, но не знаю как мне это поможет.
Компания закрытого типа и внешние доменные имена не нужны.
Менять доменное имя - это пипец, компания большая, всё завязано на домене.

Подскажите плиз как решить этот вопрос.
Спасибо.

SimbioS
(06.11.14 16:43:38 MSK)

35 комментариев

Nginx HTTP/1.1 302 Moved Temporarily

Приветствую.
Настраиваю связку varnish+nginx+php5-fpm.
Когда сайт дёргаю курлом вижу ошибку:
curl -i http://192.168.0.3/index.php HTTP/1.1 302 Moved Temporarily
В дебаге лога nginx:
http upstream recv(): -1 (11: Resource temporarily unavailable)
http fastcgi header: «Status: 302 Moved Temporarily»

При этом в принципе сайт работает.
Вот только варниш ругается (
web1 Still sick 4--X-R- 0 3 5 0.294136 0.000000 HTTP/1.1 302 Moved Temporarily
web2 Still sick 4--X-R- 0 3 5 0.231400 0.000649 HTTP/1.1 302 Moved Temporarily

Подскажите как исправить эту ошибку ? Спасибо за помощь.

SimbioS
(30.07.14 13:54:13 MSK)

4 комментария

Настройка route policy в Linux

Приветствую сообщество. Проблема заключается в заворачивании трафика Squid через второй канал интернет.

Есть шлюз Gentoo с тремя сетевыми картами.
eth0 - один аплинк 192.168.1.2 route 192.168.1.1
eth2 - второй аплинк 192.168.2.2 route 192.168.2.1
eth1 - в локалку 10.71.0.1 он же шлюз по умолчанию для локалки (soks5,openvpn,etc).
eth1:1 - алиас для eth1 10.71.0.2 и на нём крутится Squid. (нет возможности установки физ. сетевой)
ppp0 - провайдер1
195.XX.XX.185 dev ppp0 proto kernel scope link src XX.207.XX.70
default via 195.XX.XX.185 dev ppp0
ppp1 - провайдер2
195.XX.XX.186 dev ppp1 proto kernel scope link src XX.207.XX.123

Задача направить трафик с eth1:1 10.71.0.2 через ppp1.
Остальной трафик с eth1 10.71.0.1 через ppp0.
Балансировка не нужна.

Делаю так: Создал таблицу squid в /etc/iproute2/rt_tables.
eth1:1 поднят и пингуется с локалки.
Копирую с таблицы main роуты кроме дефалтного в таблицу squid.
Добавляю в таблицу squid дефаулт роут 195.XX.XX.186 dev ppp1.
Добавляю в таблицу squid хождение пакетов С/НА 10.71.0.2.

Не работает.
Спасибо за Вашу помощь.

SimbioS
(04.10.12 16:34:33 MSK)

6 комментариев

Apache+AD+Kerberos = SSO

Приветствую сообщество.
Решил настроить SSO для WEB приложений в нашей компании.
Есть Сервер AD 2008. Gentoo как WEB сервер.
Билеты создал проблем с этим нету так как SSO настраивал на Gentoo для почты и прокси (работает без замечаний).

Вот ещё главное требование для WEB.
Все пользователи есть в AD, но не все введены в домены (удалённые офисы) и ближайшие лет 5 не будут вводиться.
Дык вот нужно что бы при входе на WEB приложение, проверка сначала велась через Kerberos + проверка принадлежности к группе в AD и если пользователь в домене то разрешить доступ если не в домене вывести окно авторизации в которое ввести логин и пароль пользователя в AD + проверка принадлежности к группе.

Конфиг пишу следующий:

<Directory "/var/www/car">
AuthType Kerberos
KrbSaveCredentials On
KrbDelegateBasic On
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthoritative Off
KrbVerifyKDC Off
KrbServiceName "HTTP/car.cn.energy@CN.ENERGY"
KrbAuthRealms CN.ENERGY
Krb5KeyTab /etc/krb5.keytab

AuthType Basic
AuthBasicProvider ldap
AuthName "CN.ENERGY"
AuthzLDAPAuthoritative On
AuthLDAPURL ldap://srv-ad.cn.energy/DC=cn,DC=energy?sAMAccountName?sub?(objectClass=Person)
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN Off
AuthLDAPBindDN "user@cn.energy"
AuthLDAPBindPassword password
Require ldap-group cn=Transport,dc=cn,dc=energy
Options -Indexes -FollowSymLinks
AllowOverride none
Order allow,deny
Allow from all
</Directory>

Работает только по отдельности. Если я в домене и только часть конфига с Kerberos то меня пускает.
Только пользователей (Require user) надо указывать что не совсем удобно.
Часть только с LDAP работает но только не с Require ldap-group, пользователь проходит , в логах чисто но окно авторизации опять выскакивает.
Если пароль не правильный то в логах «authentication failure for »/": Password Mismatch".

В общем прошу Вашей помощи в решении данной задачи. Всем спасибо.

SimbioS
(04.07.12 10:10:34 MSK)

1 комментарий

HTTP 500 (Internal Server Error)

Приветствую сообщество.
Есть проблема с хостингом сайтов.
После миграции с «rackspace cloud sites» на дедикейт север, с устновленой панелью управления сайтов Kloxo, не запускается большая часть сайтов на wordpress.
Игры с .htaccess не привели ни к чему хорошему.
Ошибка у всех одинаковая HTTP 500 (Internal Server Error).

Спасибо за вашу помощь.

SimbioS
(06.06.12 16:02:09 MSK)

7 комментариев

Прошу помощи по использованию утилиты SED

Приветствую сообщество. Столкнулся с проблемой замены части строки в файле.

Есть строки в файле:
define('DB_NAME', '492248_homecareg');
define('DB_USER', '492248_homecareg');
define('DB_PASSWORD', 'passwd');
define('DB_HOST', 'mysql50-1.wc2.dfw1.stabletransit.com');

DB_USER, DB_PASSWOR, DB_HOST - для каждого сайта разные

Необходимо заменить DB_HOST на localhost, DB_USER & DB_PASSWORD на другие, для всех сайтов они будут одинаковые.

Делаю так:

sed -i -e 's/DB_USER/'define\(\'DB_USER', 'superadminsite'\)\;'/g wp-config.php

поиск по DB_USER и замена на то что мне надо.

Никак не могу втыкнуть как сказать что до и после DB_USER может быть что угодно (типа *DB_USER*) и эту строку надо заменить на правильную.

Спасибо за Вашу помощь.

SimbioS
(01.06.12 12:34:04 MSK)

3 комментария

transport в postfix - окончательно запутался (

Приветствую сообщество !
В связи с закрытием 25 порта моим провайдером, стал вопрос о пересылке исходящей почты на релей.
Имею четыре домена:
alfa.com исходящую почту перенаправить на relay.provider.com
beta.net исходящую почту перенаправить на relay.provider.com
gama.org остаёться
delta.me (внутрений домен ака фирма.локал) остаёться
main.cf

relay_domains = alfa.com, beta.net, gama.org, delta.me
transport_maps = hash:/etc/postfix/transport
relay_recipient_maps = hash:/etc/postfix/relay_recipients

transport

alfa.com smtp:[relay.provider.com]
beta.net smtp:[relay.provider.com]
gama.org :
delta.me :

В итоге получаю ошибку вида:
для alfa.com, beta.net - Please use your smtp server. (in reply to RCPT TO command)
для gama.org, delta.me - mail for * loops back to myself

Помогите пожалуйста разобраться.
Спасибо за вашу помощь.

SimbioS
(09.08.11 10:40:44 MSK)

39 комментариев

dovecot + postfix + kerberos + AD - Multiple mailboxes ???

Приветствую сообщество !
Имею проблему при конфигурировании почтового сервера для моей компании.
Gentoo/Linux, postfix-2.7.3, dovecot-2.0.11, AD-Windows2008R2
main.cf:

virtual_mailbox_maps = ldap:/etc/postfix/ldap-users.cf, ldap:/etc/postfix/ldap-users_oblr.cf

Я создал два файла для поиска email в AD атрибуты mail, othermailbox.
ldap-users.cf:

server_host = srv-ad.cn.energy
search_base = dc=cn,dc=energy
version = 3
bind = yes
bind_dn = admin
bind_pw = passwd
chase_referrals = no
scope = sub
query_filter = (&(objectclass=person)(|(mail=%s))(!(userAccountControl=514)))
result_attribute = mail
result_format = %s/

ldap-users_oblr.cf:

server_host = srv-ad.cn.energy
search_base = dc=cn,dc=energy
version = 3
bind = yes
bind_dn = admin
bind_pw = passwd
chase_referrals = no
scope = sub
query_filter = (&(objectclass=person)(|(otherMailbox=%s))(!(userAccountControl=514)))
result_attribute = otherMailbox

Итак, почему я сделал так тупо ?
Поробую обьяснить. Я имею акаунт в AD ( например ross).
В атрибуте mail есть запись ross at energo.cg.ukrtel.net, а в атрибуте otherMailbox дополнительные email simbios at oblr.cn.energy.gov.ua,..., etc.
Postfix не умеет работать с атрибутами которые имеют много значений.
Если я не прав поправте меня )))
Dovecot соответствено тоже )))
Что делать в такой ситуации? Может быть есть решение ?
dovecot-ldap.conf:

user_attrs = mail=mail=maildir:/var/spool/mail/%$, quotaBytes=quota_rule=*:bytes=%$
user_filter = (&(objectClass=Person)(sAMAccountName=%n))
pass_attrs = userPassword=password
pass_filter = (&(objectClass=posixAccount)(uid=%u))

ls /var/mail
ross at energo.cg.ukrtel.net simbios at oblr.cn.energy.gov.ua

Директории создал postfix. С ross Dovecot работает, а с simbios НЕТ.
Спасибо за Вашу помощь !

SimbioS
(04.08.11 17:11:16 MSK)

6 комментариев

Squid delay pools - запутался окончательно.

Приветствую сообщество. Прошу помощи в настройке delay pools и нарезки скорости.

squid.conf:

http_port 10.71.0.2:3128
maximum_object_size_in_memory 512 KB
cache_dir ufs /CACHE 70000 16 256

############ HAVP Server ############
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
acl Scan_HTTP proto HTTP
acl Scan_HTTPS proto HTTPS
acl Scan_FTP proto FTP
never_direct allow Scan_HTTP Scan_HTTPS Scan_FTP
######### End HAVP Server ###########

error_default_language RU
error_directory /usr/share/squid/errors/ru

auth_param negotiate  program /usr/libexec/squid/squid_kerb_auth -i -s  HTTP/srv-proxy.cn.energy@CN.ENERGY
auth_param negotiate  children 15
auth_param negotiate  keep_alive on


external_acl_type ldap_check ttl=60 %LOGIN /usr/libexec/squid/squid_ldap_group -b "dc=cn,dc=energy" -D \
"ldapproxy@cn.energy" -W "/etc/squid/adpw.txt" -f "(&(objectClass=person)(sAMAccountName=%u) \
(memberOf=cn=%g,ou=Groups,ou=Administration,ou=Energy,dc=cn,dc=energy))" -h "srv-ad.cn.energy" -K -R

#VC группа отдела вычислительного центра
acl VC external ldap_check VC

#AUP группа апарата управления предприятием ака Босы
acl AUP external ldap_check AUP

#остальные ...
acl OTHER external ldap_check AHO ASUTP Avto Balans Buh CDS DEB Fin Jur Kadry Kanc KSC Market Metr OKS OMTS Pressa Profkom \
PTS SEN Seti Smeta SOP SS SSUE STZ Tarif

acl Safe_ports port 80  21 443 #Хочу что бы ходили только на эти порты.
acl limit_connection maxconn 10

acl manager proto cache_object
acl webserver src 10.71.0.2/32

acl multimedia urlpath_regex -i \.flv$ \.mp3$ \.mp4$ \.mkv$ \.3gp$ \.mp3$ \.vqf$ \.avi$ \.mpeg$ \.mpe$ \.mpg$ \.qt$ \.ram$ \.rm$ \.wav$ \.dat$ \.mid$ \.iso$ \.raw$ \.asx$ \.wmv$ \.mov$

delay_initial_bucket_level 50

delay_pools 4
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 1

delay_access 1 allow OTHER
delay_access 2 allow AUP
delay_access 3 allow VC
delay_access 4 allow multimedia

delay_access 1 deny all
delay_access 2 deny all
delay_access 3 deny all
delay_access 4 deny all

delay_parameters 1 524288/524288 64000/1048576 
delay_parameters 2 1048576/1048576 262144/1048576
delay_parameters 3 524288/524288 128000/1048576
delay_parameters 4 16000/16000

reply_body_max_size 100 MB OTHER

http_access allow manager webserver
http_access deny manager

http_access deny !Safe_ports !limit_connection

cache_effective_user squid
cache_effective_group squid

visible_hostname srv-proxy.cn.energy

1. Не работает нарезка канала для 3-х пулов.
Для 4-го работает.
2. Для всех групп что бы работало limit_connection

reply_body_max_size по ходу работает...

Спасибо за вашу помощь.

SimbioS
(20.07.11 15:43:22 MSK)

1 комментарий

Postfix + AD + почтовые домены

Приветствую сообщество. Есть почтовый сервер настроенный на аутентификацию через Dovecot, который в свою очередь идентифицирует пользователей через керберос и ищет реципиентов в AD. Это всё работает только если один почтовый домен на пользователя. А если их несколько, вида:

user@domain.com - первичный записанный в атрибуте mail, и user1@domain.net, user2@domain.org, etc... записаные в атрибуте otherMailbox.

В принципе не важно первичный можно тоже в атрибут otherMailbox записать, а mail оставить пустым. Бьюсь месяц, не получается. Есть у кого нить идеи ? main.cf

LogFile="perl /usr/bin/awstats_maillogconvert.pl standard < /var/log/maillog |"
LogFile="gzip −cd /var/log/maillog.0.gz | /usr/bin/awstats_maillogconvert.pl standard |"
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = //usr/lib64/postfix
data_directory = /var/lib/postfix

mail_owner = postfix
default_privs = nobody

myhostname = energo.cg.ukrtel.net
inet_interfaces = 10.71.0.50, 127.0.0.1

unknown_local_recipient_reject_code = 550

#mynetworks_style = subnet
mynetworks = 127.0.0.0/8 10.71.0.50/32

smtpd_banner = energo.cg.ukrtel.net ESMTP $mail_name
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = postdrop
html_directory = /usr/share/doc/postfix-2.7.2/html
manpage_directory = /usr/share/man
sample_directory = /etc/postfix
readme_directory = /usr/share/doc/postfix-2.7.2/readme

smtpd_milters = unix:/var/run/clamav/clamav-milter.sock
milter_default_action = accept
mailbox_command = /usr/libexec/dovecot/deliver
dovecot_destination_recipient_limit=1
line_length_limit = 3048
lmtp_line_length_limit = 990
smtp_line_length_limit = 990

virtual_mailbox_base = /var/spool/mail
virtual_mailbox_maps = ldap:/etc/postfix/ldap-users.cf
virtual_alias_maps = ldap:/etc/postfix/ldap-groups.cf
virtual_uid_maps = static:1000
virtual_gid_maps = static:1000
#virtual_mailbox_domains = /etc/postfix/domains.cf
#virtual_transport = hash:/etc/postfix/transport
#transport_maps = hash:/etc/postfix/transport

#### TLS bits ####
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes

## Location of key, cert and CA-cert.
## These files need to be generated using openssl

smtpd_tls_key_file = /etc/ssl/dovecot/cn.energy/cn.energy.key
smtpd_tls_cert_file = /etc/ssl/dovecot/cn.energy/cn.energy.crt
smtpd_tls_CAfile = /etc/ssl/dovecot/cn.energy/cacert.pem

tls_random_exchange_name = /var/run/prng_exch
tls_random_source = dev:/dev/urandom
tls_smtp_use_tls = yes


smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_application_name = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $virtual_mailbox_domains
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

ldap-users.cf

server_host = srv-ad.cn.energy
search_base = dc=cn,dc=energy
version = 3
bind = yes
bind_dn = admin@cn.energy
bind_pw = passwd
query_filter = (otherMailbox=%s)
result_attribute = otherMailbox
result_format = %s/

Получается вид:

postmap -q simbios@oblr.cn.energy.gov.ua ldap:/etc/postfix/ldap-users.cf
sysadmin@cn.energy/,simbios@oblr.cn.energy.gov.ua/

Спасибо за вашу помощь.

SimbioS
(11.07.11 17:19:58 MSK)

2 комментария

Bind и обратная зона с двойным значением.

Приветствую сообщество.
Есть связка Bind+DHCP. Работает замечательно.
Но есть одна странность.
Сеть 10.71/16, почему так не спрашивайте плиз :)
В обратной зоне двойные значения типа:
$ORIGIN 71.10.0.71.10.in-addr.arpa.
$ORIGIN 2.71.10.0.71.10.in-addr.arpa.
$ORIGIN 71.10.0.71.10.in-addr.arpa.
etc
Вопрос как это побороть ? Так как обратная зона не резолвится.
Конфиги:
named.conf

acl "srv-ad" {
10.71.0.5;
10.71.0.6;
};
acl "trusted" {
    127.0.0.1/32;
    10.71.0.0/16;
};
options {
        directory "/var/bind";
        pid-file "/var/run/named/named.pid";    
        listen-on-v6 { none; };
        listen-on { 127.0.0.1; 10.71.0.15; };
        allow-query {
                trusted;
        };
        allow-query-cache {
                trusted;
        };
        allow-recursion {
                trusted;
        };
        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;
};
include "/etc/bind/rndc.key";
controls {
        inet 127.0.0.1 port 953 allow { 127.0.0.1/32; } keys { "rndc-key"; };
};

zone "." in {
        type hint;
        file "/var/bind/root.cache";
};

zone "localhost" IN {
        type master;
        file "pri/localhost.zone";
        notify no;
};

zone "127.in-addr.arpa" IN {
        type master;
        file "pri/127.zone";
        notify no;
};

zone "cn.energy" {
    type master;
    file "pri/cn.energy.zone";
    allow-update { key "rndc-key";};
    check-names ignore;
    notify no;
    allow-transfer { srv-ad; };
};

zone "71.10.in-addr.arpa" IN {
    type master;
    file "pri/71.10.zone";
    allow-update { key "rndc-key";};
    check-names ignore;
    notify no;
    allow-transfer { srv-ad; };
};

71.10.zone

$ORIGIN .
$TTL 604800; 1 week
71.10.in-addr.arpa IN SOA srv-ddns.cn.energy. admin.srv-ddns.cn.energy. (
2010121488 ; serial
86400      ; refresh (1 day)
7200       ; retry (2 hours)
8640000    ; expire (14 weeks 2 days)
86400      ; minimum (1 day)
)
NS srv-ddns.cn.energy.
A 10.71.0.15
MX 10 srv-mail.cn.energy.

SimbioS
(22.06.11 12:11:24 MSK)

3 комментария

Проблема с IPsec (Racoon)

Привет всем.
У меня есть проблема с настройкой Ipsec для мобильных клиентов.
Мои конфиги:
setkey.conf

spdflush; 
spdadd 0.0.0.0/0 78.46.79.232/27 any -P out ipsec esp/tunnel/78.46.79.232-0.0.0.0/require; 
spdadd 78.46.79.232/27 0.0.0.0/0 any -P in ipsec esp/tunnel/0.0.0.0-78.46.79.232/require;

racoon.conf

path include "/etc/racoon"; 
path pre_shared_key "/etc/racoon/psk.txt"; 
log notify; 
padding 
{ 
        maximum_length 20;      # maximum padding length. 
        randomize off;          # enable randomize length. 
        strict_check off;       # enable strict check. 
        exclusive_tail off;     # extract last one octet. 
} 
listen 
{ 
        isakmp 78.46.79.232 [500]; 
        isakmp_natt 78.46.79.232 [4500]; 
        adminsock disabled; 
} 
timer 
{ 
        counter 5;              # maximum trying count to send. 
        interval 20 sec;        # maximum interval to resend. 
        persend 1;              # the number of packets per send. 
        phase1 30 sec; 
        phase2 15 sec; 
} 
remote anonymous 
{ 
        exchange_mode main,aggressive; 
        doi ipsec_doi; 
        situation identity_only; 
        my_identifier address 78.46.79.232; 
        peers_identifier fqdn "elastix.flexicam.com"; 
        nonce_size 16; 
        lifetime time 3600 sec; 
        ### lifetime time 24 hour; 
        initial_contact on; 
        proposal_check obey;    # obey, strict, or claim 
        proposal { 
                encryption_algorithm 3des; 
                ### hash_algorithm md5; 
                hash_algorithm sha1; 
                authentication_method pre_shared_key; 
                dh_group 2; 
                lifetime time 3600 sec; 
        } 
} 
sainfo anonymous 
{ 
        pfs_group 2; 
        lifetime time 3600 sec; 
        ### lifetime time 24 hour; 
        encryption_algorithm 3des; 
        ### authentication_algorithm hmac_md5; 
        authentication_algorithm hmac_sha1; 
        compression_algorithm deflate; 
}

psk.txt

pizdec.net      password

После запуска в дебаг режиме, вижу следующее:
2011-06-08 13:57:02: ERROR: no policy found: 10.71.10.71/32[0] 78.46.79.232/32[0] proto=any dir=in
2011-06-08 13:57:02: ERROR: failed to get proposal for responder.
2011-06-08 13:57:02: ERROR: failed to pre-process packet.
Где 10.71.10.71 локальный IP моего PC, тестирую клиентом «TheGreenBow IPSec VPN Client»
Спасибо за вашу помощь.

SimbioS
(09.06.11 11:43:44 MSK)

9 комментариев

AD + Postfix + Dovecot проблемы с фильтрами...

Приветствую сообщество. Настроил связку AD + Postfix + Dovecot + Kerberos. Это всё работает только для одного домена :( В атрибуте пользователей mail=test@test.com, в otherMailbox=vasya@otherdoamin.com,

petya@another.net .... и это не алиасы. Конфиги: Postfix ldap-users.cf server_host = server search_base = dc=cn,dc=energy version = 3 bind = yes bind_dn =

ldapmail@cn.energy bind_pw = passwd

query_filter = (&(objectCategory=person)(|(mail=%s)(otherMailbox=%s))(!(userAccountControl=514))) result_attribute = mail otherMailbox result_format = %d/%u

dovecot-ldap.conf hosts = server:3268 debug_level = 2 dn = ldapmail dnpass = passwd tls = no auth_bind = yes auth_bind_userdn = cn.energy\%u ldap_version = 3 base = dc=cn, dc=energy deref = searching scope = subtree user_attrs = mail=user,uid=vmail, gid=vmail user_filter = (&(objectclass=person)(|(sAMAccountName=%n)(otherMailbox=%n))(!(userAccountControl=514))) default_pass_scheme = CRYPT

Вывод postconf: атрибут mail postmap -q ross@test@test.com ldap:/etc/postfix/ldap-users.cf another.net/petya,otherdoamin.com/vasya,test@test.com/ross теоретически правильно нашёл, но вот вывод очень странный

атрибут otherMailbox postmap -q

ross@otherdoamin.com ldap:/etc/postfix/ldap-users.cf another.net/petya,otherdoamin.com/vasya,test@test.com/ross

Естественно Dovecot не может найти директорию Mailbox.

Кто сталкивался с таким чудом ?

Большое спасибо за вашу помощь !

SimbioS
(30.05.11 14:34:00 MSK)

1 комментарий

Postfix+Kerberos+Cyrus-imad/sasl

Приветствую сообщество. Хочу организовать аутентификацию пользователей домена (windows 2008) для smtp/pop3/imap сервисов.

Настраивал связку squid+kerberos+ad - работает замечательно и сервер в домен вводить не надо и самбу ставить.

С почтой для меня оказалось сложней.

Не пойму как сервера postfix+cyrus-imapd будут искать имейлы в домене. Как создавать тикеты на эти сервисы.

Буду признателен за наводку и может быть ссылки.

Спасибо.

SimbioS
(25.02.11 16:04:47 MSK)

Iptables + bind DNS в локальной сети

Приветствую сообщество. Имею: локальная сеть 192.168.0.0/24 шлюз 192.168.0.1 ДНС сервер 192.168.0.10 На шлюзе для ДНС сервера прописан маскарад и это работает. Все клиенты в локальной сети используют ДНС сервер. ДНС сервер не использует ДНС сервера провайдера. На ДНС прописан query-source address * port 53;

А теперь проблема. Как прописать правильные правила для ДНС сервера, что бы он ходин в интернет не через маскарад, а только в мир к другим ДНС серверам на 53 порт и ответ из мира возвращался соответственно для 192.168.0.10 порт 53. Прошу помощи в решении данной проблемы. Спасибо.

SimbioS
(20.01.11 12:13:27 MSK)

5 комментариев

FTP server SSL/TLS port 990, 989 - большая проблема

Приветствую сообщество. Столкнулся с проблемой при настройке сервера PURE-FTPD/VSFTPD.

Клиент (filezilla/cuteftp/speedcommander) наотказ не может соединиться с FTP сервером при обязательном использовании SSl/TLS на порт 990.

FIREWALL отключён !!!

Конфигурация vsftpd: listen_port=990 ftp_data_port=989 pasv_min_port=12000 pasv_max_port=12300 pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=YES ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/ssl/ftp/elastix.flexicam.com.pem

Конфигурация pure-ftpd: TLS 2 Bind 78.46.79.232,990

В логах пусто так как клиент не может соединиться с сервером. В инете много подобных проблем как у меня но решения я нигде не нашёл.

Уповаю на вашу помощь. Всем спасибо.

SimbioS
(03.12.10 15:00:07 MSK)

10 комментариев

RSS подписка на новые темы