tolikkk
-
Постов
9 -
Зарегистрирован
-
Посещение
Никогда
Сообщения, опубликованные tolikkk
-
-
Добрый день.
Стоит iptables v1.3.5 на CentOS 5.5
Хочется логировать полную процедуру установки соединения tcp -- т.н. 3-way tcp handshake, то есть последовательность пакетов SYN -- SYN,ACK -- ACK.
Для "SYN" и "SYN,ACK" сделал правила:
-A FORWARD -p tcp --tcp-flags ALL SYN -j LOG --log-prefix "FORWARD" --log-level 7-A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j LOG --log-prefix "FORWARD" --log-level 7
С этим все нормально. А с "ACK" проблема, не понимаю, какое правило надо создать, чтобы залогировать только первый "ACK" установки соединения.
Если сделать правило:
-A FORWARD -p tcp --tcp-flags ALL ACK -j LOG --log-prefix "FORWARD" --log-level 7
то логи быстро загадятся обычными "ACK"'ами, ходящими в рамках уже установленного соединения.
-
Подскажите, какие утилиты/системы предпочтительнее использовать для организации бэкапа по критериям гибкости настроек, несложности установки, простоты восстановления? Предполагается делать резерв. копии всей фс раз месяц, например,и бэкап рабочих файлов каждый день. Храниться архив будет на HDD.
То, что я нашел - это dump/restore, rsync, BackupPC, Bacula. Что из этого выбрать или необходимо обратить внимание на что-то ещё?
-
Дело оказалось вовсе не в кривой настройке sendmail'а, а в активированном режиме mailguard на Cisco ASA, которая давала такой странный результат.
Некоторые комментарии доступны тут - http://support.microsoft.com/kb/320027/ru
-
Ну тогда странно ,что с самого сервера все работает без проблем и ошибок. sendmail.cf в аттаче, буду признателен, если укажете в нем, что не так
-
Насколько я понимаю, в sendmail.mc всё же, т.к. sendmail.cf не рекомендуется править руками.
Вот конфиг sendmail.mc:
divert(-1) dnl This is the macro config file used to generate the /etc/sendmail.cf dnl file. If you modify the file you will have to regenerate the dnl /etc/sendmail.cf by running this macro config through the m4 dnl preprocessor: dnl dnl m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf dnl dnl You will need to have the sendmail-cf package installed for this to dnl work. include(`/usr/share/sendmail-cf/m4/cf.m4')dnl define(`confDEF_USER_ID',``mail:mail'')dnl OSTYPE(`linux')dnl undefine(`UUCP_RELAY')dnl undefine(`BITNET_RELAY')dnl define(`confALIAS_WAIT', `30')dnl define(`confTO_CONNECT', `1m')dnl define(`confTRY_NULL_MX_LIST',true)dnl define(`confDONT_PROBE_INTERFACES',true)dnl define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl dnl define delivery mode: interactive, background, or queued dnl define(`confDELIVERY_MODE', `i') dnl MASQUERADE_AS(`dom-sz.ru')dnl dnl FEATURE(`local_no_masquerade')dnl dnl MASQUERADE_DOMAIN(`domain-spb.sz')dnl dnl FEATURE(`limited_masquerade')dnl dnl FEATURE(`masquerade_envelope')dnl FEATURE(`smrsh',`/usr/sbin/smrsh')dnl FEATURE(mailertable)dnl dnl virtusertable: redirect incoming mail to virtual domain to particular user or domain FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable')dnl dnl genericstable: rewrite sender address for outgoing mail dnl FEATURE(genericstable)dnl FEATURE(always_add_domain)dnl FEATURE(redirect)dnl FEATURE(use_cw_file)dnl FEATURE(local_procmail)dnl FEATURE(`access_db')dnl FEATURE(`blacklist_recipients')dnl dnl FEATURE(`relay_based_on_MX')dnl dnl FEATURE(dnsbl, `blackholes.mail-abuse.org', `Rejected - see http://www.mail-abuse.org/rbl/')dnl dnl FEATURE(dnsbl, `dialups.mail-abuse.org', `Dialup - see http://www.mail-abuse.org/dul/')dnl dnl FEATURE(dnsbl, `relays.mail-abuse.org', `Open spam relay - see http://www.mail-abuse.org/rss/')dnl FEATURE(`delay_checks')dnl FEATURE(`stickyhost')dnl dnl SASL Configuration dnl extract from http://www.sendmail.org/~ca/email/auth.html dnl dnl Next two lines are for SMTP Authentication TRUST_AUTH_MECH(`LOGIN PLAIN')dnl define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl dnl dnl Next line stops sendmail from allowing auth without encryption define(`confAUTH_OPTIONS', `Apy')dnl dnl dnl STARTTLS configuration dnl extract from http://www.sendmail.org/~ca/email/starttls.html dnl define(`CERT_DIR', `/etc/ssl/sendmail')dnl define(`confCACERT_PATH', `CERT_DIR')dnl define(`confCACERT', `CERT_DIR/CAcert.pem')dnl define(`confSERVER_CERT', `CERT_DIR/MYcert.pem')dnl define(`confSERVER_KEY', `CERT_DIR/MYkey.pem')dnl define(`confCLIENT_CERT', `CERT_DIR/MYcert.pem')dnl define(`confCLIENT_KEY', `CERT_DIR/MYkey.pem')dnl dnl dnl Uncomment next lines to hide identity of mail serve define(`confPRIVACY_FLAGS',`goaway,restrictqrun,restrictmailq')dnl dnl define(`confSMTP_LOGIN_MSG', `$j server ready at $b')dnl MAILER(smtp)dnl MAILER(smtp_dom)dnl MAILER(procmail)dnl
-
Добрый день. Установил Mandriva 2008 (Linux version 2.6.22.9-desktop-1mdv), на неё поставил sendmail 8.14.1.
при отправке почты с самого сервера всё работает нормально. Вот примерный лог событий:
[root@ns1 ~]# telnet 127.0.0.1 25
<Trying 127.0.0.1...
<Connected to ns1.domain.spb.ru (127.0.0.1).
<Escape character is '^]'.
<220 ns1.domain.spb.ru ESMTP Sendmail 8.14.1/8.14.1; Thu, 22 May 2008 10:28:31 +0400
>ehlo tolik
<250-ns1.domain.spb.ru Hello ns1.domain.spb.ru [127.0.0.1], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-AUTH LOGIN PLAIN
<250-DELIVERBY
<250 HELP
>mail from:qwerty@yandex.ru
<250 2.1.0 qwerty@yandex.ru... Sender ok
>rcpt to:mail@domain.spb.ru
<250 2.1.5 mail@domain.spb.ru... Recipient ok
>data
<354 Enter mail, end with "." on a line by itself
>hello, this is the test message
>.
<250 2.0.0 m4M6SVnt000976 Message accepted for delivery
>quit
<221 2.0.0 ns1.domain.spb.ru closing connection
<Connection closed by foreign host.
Однако, при попытке отправить письмо с компьютера из локальной сети (Windows Server 2003) или из инета (например яндекс), начинаются проблемы. Непонятно откуда в откликах вылезают символы '*' и 'X'.
С локальной машины ('*' и 'X' есть, но почта доходит):
#> telnet ns1 25
<220 ************************************************************ ***********************
>ehlo
<501 5.0.0 ehlo requires domain address
>ehlo tolik
< 250-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXA
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-AUTH LOGIN PLAIN
<250-XXXXXXXXB
<250 XXXC
...
дальше все работает без ошибок, разве что опять символы 'X' в ответ на ошибочную команду:
ds
500 5.5.1 Command unrecognized: "XX"
Ещё раз повторю, письмо в этом случае доходит.
Когда же я пытаюсь отправить письма с яндекса, они не доходят. Получаю письмо с ошибкой:
FAILED:
Final Recipient:
RFC822;mail@domain.spb.ru
Status:
5.0.0
Remote MTA:
dns; mail1.domain.spb.ru (*IP_сервера*|25|213.180.200.152|47210)
Last Attempt Date:
Thu, 22 May 2008 11:48:22 +0400
X-ZTAID:
smtp[1148]
Diagnostic Code:
smtp; 553 (<mail@domain.spb.ruX NOTIFY=FAILURE ORCPT=rfc822;mail@domaiXXXXXXXXXXXX... Unbalanced '<')
Control data:
smtp domain.spb.ru mail@domain.spb.ru 65534
Diagnostic texts:
<<- MAIL From:<qwerty@yandex.ru> BODY=8BITMIME SIZE=574
->> 250 2.1.0 <qwerty@yandex.ru>... Sender ok
<<- RCPT To:<mail@domain.spb.ru> NOTIFY=FAILURE ORCPT=rfc822;mail@domain.spb.ru
->> 553 5.0.0 <mail@domain.spb.ruX NOTIFY=FAILURE ORCPT=rfc822;mail@domaiXXXXXXXXXXXX... Unbalanced '<'
Подскажите пожалуйста, где копать?
-
В таком случае будет просто два независимых ограничения:
1) диапазон разрешенных IP адресов.
2) авторизированные пользователи.
А мне необходимо создать именно точно соответствие "пользователь-IP". Иначе говоря, хочу, чтобы пользователь, которому в принципе инет разрешен, не мог им пользоваться за чужим компьютером (на котором тоже разрешен интернет, но другому пользователю).
-
Есть Mandriva 2008, на ней стоит squid 2.6. Авторизация пользователей происходит через AD. Вопрос - как мне нарисовать такой acl для доступа в инет, чтобы конкретный авторизированный в AD пользователь мог ходить только с определенного IP?
iptables tcp log
в Вопросы по серверам и сетям
Опубликовано
Такой вариант я тоже пробовал - не подходит.
Когда включены лог всех ACK'ов, видно, что пакеты SYN-SYN/ACK-ACK проходят в течение одной секунды:
Jul 30 16:48:13 test1 kernel: FORWARDIN=bond0.3 OUT=bond0.3 SRC=10.200.2.4 DST=10.200.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=14809 DF PROTO=TCP SPT=4323 DPT=2500 WINDOW=64512 RES=0x00 SYN URGP=0
Jul 30 16:48:13 test1 kernel: FORWARDIN=bond0.3 OUT=bond0.3 SRC=10.200.0.2 DST=10.200.2.4 LEN=44 TOS=0x00 PREC=0x00 TTL=29 ID=155 PROTO=TCP SPT=2500 DPT=4323 WINDOW=8192 RES=0x00 ACK SYN URGP=0
Jul 30 16:48:13 test1 kernel: FORWARDIN=bond0.3 OUT=bond0.3 SRC=10.200.2.4 DST=10.200.0.2 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=14812 DF PROTO=TCP SPT=4323 DPT=2500 WINDOW=64512 RES=0x00 ACK URGP=0
В случае с опцией --state NEW, пакет ACK приходит, но почему-то с большой задержкой. Скорее это уже ACK от обмена данными внутри соединения, а не от его установки:
Jul 30 16:47:00 test1 kernel: FORWARDIN=bond0.3 OUT=bond0.3 SRC=10.200.2.4 DST=10.200.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=7778 DF PROTO=TCP SPT=4322 DPT=2500 WINDOW=64512 RES=0x00 SYN URGP=0
Jul 30 16:47:00 test1 kernel: FORWARDIN=bond0.3 OUT=bond0.3 SRC=10.200.0.2 DST=10.200.2.4 LEN=44 TOS=0x00 PREC=0x00 TTL=29 ID=152 PROTO=TCP SPT=2500 DPT=4322 WINDOW=8192 RES=0x00 ACK SYN URGP=0
Jul 30 16:47:11 test1 kernel: FORWARDIN=bond0.3 OUT=bond0.3 SRC=10.200.0.2 DST=10.200.2.4 LEN=41 TOS=0x00 PREC=0x00 TTL=29 ID=153 PROTO=TCP SPT=2500 DPT=4256 WINDOW=8192 RES=0x00 ACK URGP=0
Конечно, данный вариант лучше, чем ничего, но тем не менее не то.