Сообщения shpak1

Postfix,Dovecot - Автоматический ответ на определенные письма.

Добрый день! Задался целью отучить пользователей локальных почтовых ящиков использовать всякие шмуглы, хотмейлы, в общем внешнюю почту. Но не все используют внешнюю почту. Решил это сделать помягче и с регулярными напоминаниями.

Концепт таков: Когда пользователь ящика petrov@gmail.com посылает письмо на любой ящик нашего почтового сервера (postfix, dovecot, amavis-new, postgrey, sieve) - она должна успешно доставляться и в ответ автоматически должно уходить сообщение с каким-либо заранее заданным содержанием.

Соответственно есть список почтовых адресов на которые всегда нужно отвечать и текст ответа что-то вроде «Не пользуйся внешней почтой!».

Знаю что для отдельных почтовых ящиков можно на sieve такое сделать, а можно ли для всех (глобально)?

Буду благодарен, если подскажите как это можно реализовать.

dovecot, postfix

shpak1
(05.06.15 13:47:26 MSK)

3 комментария

Обучение amavis-new+spamassasin

Здравствуйте! До этого поднимался вопрос по поводу спам обучения связки amavis-new+spamassasin.

Вот ссылка на эту тему: Dovecot ACL allow anyone

Т.к. темы тут быстро угасают к сожалению - не успел получить ответ на мой вопрос:

1) Есть параметр -ham. Он применяется для хорошей почты или для неверно помеченной как спам?
2) Если -ham применяется для любой хорошей почты или неверно помеченной, то нужно будет сканировать все Inbox папки?
В таком случае объем сканирования каждый раз будет все больше и больше. Копировать каждый раз в одну папку «ham» думаю тоже нет смысла. Может тогда использовать что-то вроде rsync с какой-нибудь опцией копирования только (в папку «ham») того, что с последнего раза изменилось, а все старое затирать (в папке «ham»)?

amavis, learning, spamassassin

shpak1
(20.05.15 12:38:45 MSK)

15 комментариев

Dovecot ACL allow anyone

Здравствуйте! В данный момент настраиваю шаринг папок на связке postfix+dovecot+roundcube+amavis-new+spamassasin Debian 8.
Есть 2 ящика spam@example.com и notspam@example.com. Их создал для того, чтобы пользователи скидывали туда спам и не спам и раз в день прогонялся скрипт обучения асасина:

Spam: 
sa-learn --use-ignores --spam --showdots /.../Maildir/.Junk;rm -fv /.../Maildir/.Junk
Notspam: 
sa-learn --use-ignores --hum --showdots /.../;rm -fv /.../Maildir

Пока не тестировал (буду благодарен за советы если будут), но хочу расшарить эти папочки на всех пользователей домена example.com для того, чтобы они туда просто перетаскивали почту, а не заморачивались со вложениями и тд (это намного ухудшает скидываемость спама пользователями и соответственно кол-во спама или не спама для дальнейшего анализа асасином).
Так вот, в чем вопрос. Для того, чтобы расшарить всем пользователям эти папочки нужно использовать в команде SETACL вместо имени пользователя - anyone или authenticated. Но выдается ошибочка:

BAD Error in IMAP command SETACL: 'anyone' identifier is disallowed

Порыл и нашел в вики dovecot следующее:
http://wiki.dovecot.org/SharedMailboxes/Shared#Sharing_mailboxes_to_everyone

By default Dovecot doesn't allow using the IMAP "anyone" or "authenticated" identifier, because it would be an easy way to spam other users in the system. If you wish to allow it, set:
-----------------
plugin {
  acl_anyone = allow
}
-----------------
Note that you can also do this only for some users by returning the acl_anyone as userdb extra field.

Это получается что dovecot заблокировал эти параметры для нашей же безопасности.
Теперь я передумал использовать параметр 'anyone', а параметр 'authenticated' не катит потому, что несколько доменов используется.
1) Есть ли какая-нибудь маска (или возможность ограничиться только доменом) по которой можно задать это правило?
2) После использования спама для анализа его обязательно удалять и почему?

acl, amavis, debian, dovecot, spamassassin

shpak1
(15.05.15 15:28:35 MSK)

5 комментариев

Перенос на новый сервер почтового домена

Здравствуйте! В данный момент настроил новую систему для переноса почтового сервера. Стоит связка postfix, dovecot, amavis, postfixadmin, debian 8.
Ящики на новом сервере уже заведены под «временным» доменом example-1.com для того, чтобы скопировать всю почту тулзой «imapcopy» со старого сервера. При этом основное (name@...) имя ящиков такое же на новом и на старом серверах.
Столкнулся с проблемой как перенести ящики и потом в один прекрасный момент поменять DNS записи домена и временное доменное имя example-1.com на старое examaple.com?
Заранее благодарен за развернутый ответ!

dovecot, migration, postfix

shpak1
(14.05.15 09:46:40 MSK)

3 комментария

postfix, dovecot - Перенос на другой сервер

Здравствуйте! В данный момент доделываю новый почтовый сервер (postfix,dovecot,dspam).
Продумываю план переноса почтовых ящиков и домена.
Мой план действий:
0) На новом сервере используется другой mx (который и будет основным). Домен со старого сервера уже прописал.
1) Копирование поздним вечером почтовых ящиков через «imapcopy» (на нескольких аккаунтах уже протестировал). Благо, что сервера физически в одной сети.
2) После каждого скопированного ящика включаю полный форвардинг всех писем со старого ящика в новый. Новый ящик использует временно другой домен для этого.
3) Быстренько меняем все нужные доменные записи на новый ип адрес.

Все ли верно или есть еще какие-нибудь варианты?

dovecot, migration, postfix

shpak1
(12.05.15 15:38:17 MSK)

9 комментариев

SPF - Несколько доменов

Здравствуйте!
Как настроить верно SPF записи для нескольких почтовых доменов?
Дано:
1) Главный почтовый сервер с postfix, dspam, dovecot.
10.0.0.1 mail.example.com
2) 4 домена которыми пользуются почтовые пользователи.
example.com
example-1.com
example2.com
example_3.com
3) У всех 4х доменов указан mx и cname (на mail.*) mail.example.com
4) IP у всех один и тот же 10.0.0.1

dovecot, postfix, spf

shpak1
(12.05.15 14:46:36 MSK)

13 комментариев

Авторизация - Postfix(/etc/postfix/virtual) через LDAP

Здравствуйте! Есть машинка виртуальная с установленным Virtualmin'ом, где пашет простенький почтовый postfix+dovecot и веб сервер на несколько доменов, также стоит roundcube. Авторизация работает через /etc/postfix/virtual.
Как можно подключить дополнительно внешнюю LDAP авторизацию, при этом не нарушив работу virtualmin'а?
В данный момент нужно подключить owncloud, чтобы клиенты использовали уже имеющиеся данные для авторизации. Так же в планах есть еще пара решений для прикручивания к LDAP.
Заранее благодарен за развернутый ответ!

ldap, virtual, virtualmin

shpak1
(06.05.15 10:38:28 MSK)

7 комментариев

MSSQL => MySQL Регулярная репликация

Здравствуйте! Нужно проводить репликацию определенных таблиц из удаленной базы MSSQL2012 в MySQL(или любую другую популярную) базу на Debian.
Как без особого рукожопства это реализовать?
Заранее Благодарен!

debian, mysql, sql

shpak1
(03.02.15 08:21:47 MSK)

6 комментариев

Локальная эмуляция подключение к удаленному серверу

Здравствуйте! Есть программка, которая во время запуска создает подключения к удаленному серверу (около 3000 подключений, а возможно и больше будет). Из-за того что задержка до сервера примерно 250-400мс возникает проблема времени запуска приложения, т.к. на открытие 3х портов требуется около 1-2 секунд. В сумме ожидание запуска составляет около 20-30минут - что недопустимо.
Код программы исправить не возможно. Новый софт писать нет смысла по различным причинам.
Как можно обмануть прогу с помошью баш скриптика, который будет запускать файл програмки и пока не наберется определенное количество threads будет эмулировать удаленный сервер локально (дабы уменьшить задержку до минимума), а после выключать подмену.
При этом программа все время должна видеть один и тотже ип адрес и порт.
Выглядит безумно, но мне кажется что-нибудь придумать реально...
Заранее Благодарен за помощь!

bash, программирование

shpak1
(04.12.14 15:23:22 MSK)

12 комментариев

bash, if - then - if - else - fi - else -fi (логика)

Приветствую! Не могу разобраться с логикой. Подскажите как правильно выстроить выражения пожалуйста:

if [CRC1 = CRC]
then
    ......
    if [LEN1 = LEN]
    then
        ......
    else
        ......
    fi
else
    ......
fi

shpak1
(26.11.14 22:57:16 MSK)

14 комментариев

NETCAT(nc) и ОЖИДАНИЕ ОТВЕТА

Здравствуйте! Пытаюсь написать простенький скрипт на bash , который отправляет пакет на определенный ип и порт (через netcat,nc), а в ответ получает ответ известного формата.

Проблема заключается в том, что Пакетов отправлять надо много, а встроенный таймаут тратит много лишнего времени, т.к. ответ может придти и через 100мс и через 3сек после отправки.

Подскажите как можно сделать так, чтобы netcat после отправки ждал ответа и сразу как только получал ответ - закрывал соединение (не выполнение скрипта) и можно было немедленно выполнять скрипт дальше?

bash, nc, netcat

shpak1
(26.11.14 14:37:25 MSK)

9 комментариев

MySQL App, работа с BD SQL.

Здравствуйте! Есть ПО, которое работает только с БД MySQL. Т.к. MySQL не тянет большую нагрузку, думаю перейти на SQL.
Есть ли какие-либо кроссплатформенные(WIN/LINUX) утилиты/решения, которые конвертируют запросы MySQL в SQL в реальном времени и не создавая особую нагрузку на железо (CPU и HDD)?
Как-то так должно быть:

SOFTWARE =MySQL=> APP_CONVERTER =SQL=> SQL_SERVER
SQL_SERVER =SQL=> APP_CONVERTER =MySQL=> SOFTWARE

converter, mysql, sql

shpak1
(10.09.14 13:43:42 MSK)

11 комментариев

Сильно отстает время NTP+Webmin(Debian)

Здравствуйте! Трабл с временем. За пол часа отстает в среднем на 2-3минуты. Стоит Debian на VirtualBOX, Webmin (после возникновения проблемы допольнительно установил ntp пакет и отключил синхронизацию в webmin, чтобы ntp не был привязан к webmin'у).

#ntpdc -c kerninfo
pll offset:           0 s
pll frequency:        0.078 ppm
maximum error:        16 s
estimated error:      16 s
status:               2041  pll unsync nano
pll time constant:    3
precision:            1e-09 s
frequency tolerance:  500 ppm

#ntpdc -c peers
     remote           local      st poll reach  delay   offset    disp
=======================================================================
=ns02.hns.net.in *.*.*.47   2   64   37 0.03343 95.201893 0.66489

#ntpdc -c 'pstats ns02.hns.net.in'
remote host:          ns02.hns.net.in
local interface:      *.*.*.47
time last received:   33s
time until next send: 31s
reachability change:  359s
packets sent:         6
packets received:     6
bad authentication:   0
bogus origin:         0
duplicate:            0
bad dispersion:       0
bad reference time:   0
candidate order:      0
flags:   config, bclient

/etc/ntp.conf:

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
# pick a different set every time it starts up.  Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
# server 0.debian.pool.ntp.org iburst
# server 1.debian.pool.ntp.org iburst
# server 2.debian.pool.ntp.org iburst
# server 3.debian.pool.ntp.org iburst
server pool.ntp.org

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details.  The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 192.168.123.0 mask 255.255.255.0 notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines.  Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

debian, ntp, webmin

shpak1
(28.07.14 11:52:07 MSK)

17 комментариев

debian xl2tp IPsec NAT

Здравсвтуйте! Пытаюсь настроить l2tp подключение через IPsec (xl2tpd+openswan) на Debian 7, но никак не хочет работать. До этого криво работал OpeVPN, после чего я настроил pptpd и он успешно работал. Но т.к. сервер стоит в локалке и основная его функция это предоставление различных сервисов локальным пользователям - критическим встал вопрос безопасности pptp соединения из вне. Также на сервере стоит squid использующий 2 eth порта для фильтрации и кеширования всего трафика, bin9 и apache2 (с локальными сервисами и доменами). На интернет канале стоит роутер с NAT.
Клиенты будут подключаться с различных OS - Android, iOS, Windows 7/8.
Настройка велась по статье: https://wiki.debian.org/ru/xl2tpd/Server
На роутере открыты порты: 1701, 500, 4500 (ping на внешний ип заблокирован)
Настройки на сервере:
/etc/ipsec.conf

config setup
        nat_traversal=yes
        virtual_private=%v4:10.10.0.0/24,%v4:10.10.50.0/24
# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.152.2.0/24
# значение должно содержать список всех приватных сетей, которые
# допускаются в качестве подсетей для удалённых VPN-клиентов.
# Другими словами, это диапазон IP-адресов, который находиться
# за маршрутизатором и NAT, которым является наш VPN-сервер, через который подключаются VPN-клиенты.
        oe=off
        protostack=netkey
        plutostderrlog=/var/log/ipsec.log
conn L2TP-PSK-NAT
        rightsubnet=vhost:%priv
        also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
        authby=secret
        pfs=no
        auto=add
        keyingtries=3
        rekey=no
# Apple iOS doesn't send delete notify so we need dead peer detection
# to detect vanishing clients
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
# Устанавливаем значения параметров ikelifetime и keylife
# в соответсвующие значения по-умолчанию для Windows
        ikelifetime=8h
        keylife=1h
        type=transport
# Replace IP address with your local IP (private, behind NAT IP is okay as well)
        left=10.10.0.111
# Для новых VPN-клиентов под операционными системами Windows 2000/XP,
# то есть для поддержки VPN-клиентов под устаревшими операционными системами
# используйте leftprotoport=17/%any
        leftprotoport=17/%any
        right=%any
        rightprotoport=17/%any
#force all to be nat'ed. because of iOS
        forceencaps=yes

/etc/x2ltpd/xl2tpd.conf

[global]
ipsec saref = no
listen-addr = 10.10.0.111
port = 1701
auth file = /etc/xl2tpd/l2tp-secrets

[lns default]
ip range = 10.10.50.2-10.10.50.254
local ip = 10.10.50.1
;require chap = yes
refuse chap = yes
refuse pap = yes
;assign ip = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

/etc/ppp/options.x2ltpd

;refuse-mschap-v2
;refuse-mschap
require-mschap-v2
ms-dns 10.10.0.112
asyncmap 0
auth
crtscts
idle 1800
mtu 1200
mru 1200
lock
hide-password
local
#debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

/var/log/ipsec.log

"L2TP-PSK-NAT"[2] *.*.241.161 #5:   them: *.*.241.161[192.168.1.9,+S=C]:17/1701
"L2TP-PSK-NAT"[2] *.*.241.161 #5: keeping refhim=4294901761 during rekey
"L2TP-PSK-NAT"[2] *.*.241.161 #5: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
"L2TP-PSK-NAT"[2] *.*.241.161 #5: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
"L2TP-PSK-NAT"[2] *.*.241.161 #5: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
"L2TP-PSK-NAT"[2] *.*.241.161 #5: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
"L2TP-PSK-NAT"[2] *.*.241.161 #5: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0xb59c768e <0x8d6df54f xfrm=AES_256-HMAC_SHA1 NATOA=192.168.1.9 NATD=*.*.241.161:19590 DPD=none}
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received Delete SA(0x8e89e290) payload: deleting IPSEC State #4
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received and ignored informational message
"L2TP-PSK-NAT"[2] *.*.241.161 #1: the peer proposed: *.*.84.196/32:17/0 -> 192.168.1.9/32:17/1701
"L2TP-PSK-NAT"[2] *.*.241.161 #1: NAT-Traversal: received 2 NAT-OA. using first, ignoring others
"L2TP-PSK-NAT"[2] *.*.241.161 #6: responding to Quick Mode proposal {msgid:05000000}
"L2TP-PSK-NAT"[2] *.*.241.161 #6:     us: 10.10.0.111/32===10.10.0.111<10.10.0.111>[+S=C]:17/%any
"L2TP-PSK-NAT"[2] *.*.241.161 #6:   them: *.*.241.161[192.168.1.9,+S=C]:17/1701
"L2TP-PSK-NAT"[2] *.*.241.161 #6: keeping refhim=4294901761 during rekey
"L2TP-PSK-NAT"[2] *.*.241.161 #6: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
"L2TP-PSK-NAT"[2] *.*.241.161 #6: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
"L2TP-PSK-NAT"[2] *.*.241.161 #6: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
"L2TP-PSK-NAT"[2] *.*.241.161 #6: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
"L2TP-PSK-NAT"[2] *.*.241.161 #6: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x4e59d20c <0x15dab5e0 xfrm=AES_256-HMAC_SHA1 NATOA=192.168.1.9 NATD=*.*.241.161:19590 DPD=none}
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received Delete SA(0xb59c768e) payload: deleting IPSEC State #5
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received and ignored informational message
"L2TP-PSK-NAT"[2] *.*.241.161 #1: the peer proposed: *.*.84.196/32:17/0 -> 192.168.1.9/32:17/1701
"L2TP-PSK-NAT"[2] *.*.241.161 #1: NAT-Traversal: received 2 NAT-OA. using first, ignoring others
"L2TP-PSK-NAT"[2] *.*.241.161 #7: responding to Quick Mode proposal {msgid:06000000}
"L2TP-PSK-NAT"[2] *.*.241.161 #7:     us: 10.10.0.111/32===10.10.0.111<10.10.0.111>[+S=C]:17/%any
"L2TP-PSK-NAT"[2] *.*.241.161 #7:   them: *.*.241.161[192.168.1.9,+S=C]:17/1701
"L2TP-PSK-NAT"[2] *.*.241.161 #7: keeping refhim=4294901761 during rekey
"L2TP-PSK-NAT"[2] *.*.241.161 #7: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
"L2TP-PSK-NAT"[2] *.*.241.161 #7: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
"L2TP-PSK-NAT"[2] *.*.241.161 #7: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
"L2TP-PSK-NAT"[2] *.*.241.161 #7: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
"L2TP-PSK-NAT"[2] *.*.241.161 #7: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x507c8444 <0x1a7aa257 xfrm=AES_256-HMAC_SHA1 NATOA=192.168.1.9 NATD=*.*.241.161:19590 DPD=none}
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received Delete SA(0x4e59d20c) payload: deleting IPSEC State #6
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received and ignored informational message
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received Delete SA(0x507c8444) payload: deleting IPSEC State #7
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received and ignored informational message
"L2TP-PSK-NAT"[2] *.*.241.161 #1: received Delete SA payload: deleting ISAKMP State #1
"L2TP-PSK-NAT"[2] *.*.241.161: deleting connection "L2TP-PSK-NAT" instance with peer *.*.241.161 {isakmp=#0/ipsec=#0}
packet from *.*.241.161:19590: received and ignored informational message

debian, ipsec, xl2tpd

shpak1
(25.07.14 10:50:19 MSK)

squidguard создает логи под другим пользователем

Здравствуйте! Работает связка squid3 + squidguard + с-icap + squidclamav. Проблема заключается в том, что когда файл squidguard.log превышает определенный лимит, он архивирует его и создает новый.
Так как squid работает под пользователем squid:
cache_effective_user squid
cache_effective_group squid
то, squidguard по идее должен создавать новый лог с соответствующими правами (пользователем), но при выводе команды chown он показывает proxy. Приходится в ручную менять собственника и на время пока это не сделано, связка перестает работать.
Вопрос:
Как поменять пользователя proxy в sqiudguard на squid?

proxy, squid, squidguard

shpak1
(22.04.14 15:42:51 MSK)

3 комментария

squid3 + squidguard + с-icap + squidclamav

Здравствуйте! Стоит сввязка squid3 + squidguard + с-icap + squidclamav. Настраивал долго, но не уверен что сквид работает верно. Так же наблюдается заметное снижение скорости интернета, когда запросы идут через прокси...а если еще clamav включаю с опцией:
icap_preview_enable on
icap_preview_size 1024
то вообще можно пол года ждать когда страница загрузиться...
Нагрузки на проц почти нету при этом (в данный момент эти строки закоментированы).
Прошу оказать поддуржку в оптимизации конфига, т.к. не достаточно опыта и знаний. В машине используется 2 интерфейса, 1 на вход, другой на выход. Ниже описан конфиг:
/etc/squid3/squid.conf:

#acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl localnet src 192.168.0.0/24
#acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443a
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
negative_ttl 1 seconds
redirect_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf
redirect_children 30
redirector_bypass on
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all
redirector_access deny localhost
redirector_access deny SSL_ports
http_port 3128 transparent
http_port 3129
tcp_outgoing_address 192.168.0.111
udp_outgoing_address 192.168.0.111
cache_effective_user squid
cache_effective_group squid
cache_dir ufs /etc/squid3/cache 2000 14 256
cache_mem 300 MB
maximum_object_size 100000 KB
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i \.(gif|png|jpg|jpeg|ico)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i \.(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$ 43200 90% 432000 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i \.(deb|rpm|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tiff)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i \.index.(html|htm)$ 0 40% 10080
refresh_pattern -i \.(html|htm|css|js)$ 1440 40% 40320
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .       0   20% 4320
icap_enable on
##icap_send_client_ip on
##icap_send_client_username on
##icap_client_username_encode off
#icap_client_username_header X-Authenticated-User
#icap_preview_enable on
#icap_preview_size 1024
icap_service service_req reqmod_precache bypass=0 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=0 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all

iptables:

iptables -t nat -A PREROUTING -s 192.168.0.112 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.112:3128
iptables -t nat -A POSTROUTING -j MASQUERADE

/etc/c-icap/c-icap.conf:

PidFile /var/run/c-icap/c-icap.pid
CommandsSocket /var/run/c-icap/c-icap.ctl
Timeout 300
MaxKeepAliveRequests 100
KeepAliveTimeout 600
StartServers 3
MaxServers 30
MinSpareThreads     30
MaxSpareThreads     40
ThreadsPerChild     20
MaxRequestsPerChild  0
Port 1344
User c-icap
Group nogroup
ServerAdmin support@technoton.in
ServerName Anti-Virus-Proxy
TmpDir /tmp
MaxMemObject 1048576
DebugLevel 1
ModulesDir /usr/lib/x86_64-linux-gnu/c_icap
ServicesDir /usr/lib/x86_64-linux-gnu/c_icap
TemplateDir /usr/share/c_icap/templates/
TemplateDefaultLanguage en
LoadMagicFile /etc/c-icap/c-icap.magic
RemoteProxyUsers off
RemoteProxyUserHeader X-Authenticated-User
RemoteProxyUserHeaderEncoded on
ServerLog /var/log/c-icap/server.log
AccessLog /var/log/c-icap/access.log
Service echo srv_echo.so
Service squidclamav squidclamav.so

/etc/squidclamav.conf:

maxsize 2428800
redirect http://warn.ts/clwarn.cgi
#clamd_ip 127.0.0.1
clamd_local /var/run/clamav/clamd.ctl
#clamd_port 3310
#timeout 1
logredir 1
dnslookup 1

Заранее благодарен за помощь!

squid, squidguard

shpak1
(02.04.14 14:00:28 MSK)

thunderbird and dovector+postfix+spamassasin+webmin

Здравствуйте!

Сегодня заметил, что в почтовый клиент уже давно по каким-то причинам не приходит спам...Зашел в веб-интерфейс usermin и увидел, что папочка .spam там есть. Даже очень полная писем.

Но не могу понять, почему почтовый клиент ее не видет...Или увидеть можно только через IMAP? (использую POP).

shpak1
(04.12.13 16:40:24 MSK)

2 комментария

Postfix+dovecot+virtualmin+webmin local folders

Здравствуйте! Есть задача перетащить все почтовые аккауны (их почту) со старого сервера, на один аккаунт на новый сервер. Грубо говоря создать 10-20 локальных папок, которые будут доступны одному почтовому аккаунту. Знаю что так можно сделать (делал раньше для imap акков - но совершенно забыл как). Можно конечно через usermin это сделать ручками и мышкой, но это не дело...

Дайте пожалуйста наводку.

dovecot, postfix, webmin

shpak1
(29.11.13 12:24:20 MSK)

1 комментарий

Proftpd настройка прав пользователям на каталоги

Здравствуйте!Начал недвано использовать proftpd в связке с webmin+virtualmin. Пытаюсь раздать пользователям права на папки, для подключения используется SSL/TLS.

Конфиг:

#admin

Order allow,deny

AllowUser admin.domain

</Limit>

</Directory>

#admin2

Order deny,allow

AllowUser admin2.domain,admin.domain

</Limit>

</Directory>

#user3

Order allow,deny

AllowUser user3.domain,admin.domain,admin2.domain

</Limit>

AllowUser user3_.domain

</Limit>

</Directory>

Права пользователей:

admin.domain - все права на каталоги (1,2,3)

admin2.domain - все права на каталоги (2,3)

user3.domain - все права на каталоги (3)

user3_.domain - чтение, скачивание и переход по деректориям на каталоги (3)

Проблема заключается в том, что при подключении пользователем user3_.domain вылетает ошибка в FileZilla:

Command: LIST

Response: 550 SSL/TLS required on the data channel

Error: Failed to retrieve directory listing

Если дать пользователю user3_.domain полные права <Limit ALL>, то такой проблемы не возникает.

В proftpd.log пишет, что пользователь успешно подключен, а в tls.log:

mod_tls/2.4.3[8631]: using default OpenSSL verification locations (see $SSL_CERT_DIR environment variable)

mod_tls/2.4.3[8631]: TLS/TLS-C requested, starting TLS handshake

mod_tls/2.4.3[8631]: client supports secure negotiations

mod_tls/2.4.3[8631]: TLSv1/SSLv3 connection accepted, using cipher AES256-SHA256 (256 bits)

mod_tls/2.4.3[8631]: PROT: denied by <Limit> configuration

mod_tls/2.4.3[8631]: SSL/TLS required but absent on data channel, denying LIST command

Заранее благодарен за помощь!

proftpd, доступ, папки

shpak1
(28.11.13 11:17:10 MSK)

5 комментариев

RSS подписка на новые темы