Страница 1 из 2
Нужна помощь и поддержка (поднимаю почту)
Добавлено: 2006-09-06 12:18:03
chinga
(это-мой первый раз)
Салют Всем.
Расклад такой: все делал по статье Лиссяры "exim + saslauthd + courier-imap". Чего-то не так понял, поэтому когда с яндекса шлю себе в /var/log/maillog пишет ... relay not permited. Как я понял надо включить где-то пересылку почты, но делать надо осторожно чтобы не стать спам-сервером. В общем вот конфиг- ткните пальцем где косяк?
Заранее благодарен.
Код: Выделить всё
primary_hostname = mail.mydomain.net
domainlist local_domains = mydomain.net
domainlist relay_to_domains =
hostlist relay_from_hosts = localhost:127.0.0.0/8:192.168.1.0/24
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
av_scanner = clamd:/var/run/clamav/clamd #/tmp/clamd
qualify_domain = mydomain.net
qualify_recipient = mydomain.net
exim_user = mailnull
exim_group = mail
never_users = root
rfc1413_query_timeout = 30s
sender_unqualified_hosts = +relay_from_hosts
recipient_unqualified_hosts = +relay_from_hosts
ignore_bounce_errors_after = 2d
timeout_frozen_after = 7d
smtp_enforce_sync = true
begin acl
acl_check_rcpt:
accept hosts = :
deny message = Restricted characters in address
domains = +local_domains
local_parts = ^[.] : ^.*[@%!/|]
deny message = Restricted characters in address
domains = !+local_domains
local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
accept local_parts = postmaster
domains = +local_domains
accept hosts = +relay_from_hosts
control = submission
accept authenticated = *
control = submission
accept domains = +local_domains
endpass
verify = recipient
accept domains = +relay_to_domains
endpass
verify = recipient
deny message = relay not permitted
acl_check_data:
accept
begin routers
dnslookup:
driver = dnslookup
domains = ! +local_domains
transport = remote_smtp
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more
system_aliases:
driver = redirect
allow_fail
allow_defer
data = ${lookup{$local_part}lsearch{/etc/aliases}}
user = mailnull
group = mail
file_transport = address_file
pipe_transport = address_pipe
userforward:
driver = redirect
check_local_user
file = $home/.forward
no_verify
no_expn
check_ancestor
file_transport = address_file
pipe_transport = address_pipe
reply_transport = address_reply
condition = ${if exists{$home/.forward} {yes} {no} }
localuser:
driver = accept
check_local_user
transport = local_delivery
cannot_route_message = Unknown user
begin transports
remote_smtp:
driver = smtp
local_delivery:
driver = appendfile
check_string = ""
create_directory
#file = /var/mail/$local_part
delivery_date_add
directory = /usr/home/${local_part}/Maildir
directory_mode = 777
envelope_to_add
#return_path_add
group = mail
maildir_format
maildir_tag = ,S=$message_size
message_prefix = ""
message_suffix = ""
#user = $local_part
mode = 0660
#no_mode_fail_narrower
address_pipe:
driver = pipe
return_output
address_file:
driver = appendfile
delivery_date_add
envelope_to_add
return_path_add
address_reply:
driver = autoreply
begin retry
* * F,2h,15m; G,16h,1h,1.5; F,4d,6h
begin rewrite
begin authenticators
plain:
driver = plaintext
public_name = PLAIN
server_condition = ${if saslauthd{{$1}{$2}{1}{0}}
server_set_id = $2
login:
driver = plaintext
public_name = LOGIN
server_prompts = "Username:: : Password::"
server_condition = ${if salsauthd{{$1}{$2}{1}{0}}
server_set_id = $1
# End of Exim configuration file
Добавлено: 2006-09-06 12:38:24
Alex Keda
вот, давай честно...
ты выложил 40кб текста... причём не моего...
колупаться щас - ни логов нету ничего... тока конфиг...
логи давай, тогда думать будем
))
Добавлено: 2006-09-06 12:45:01
chinga
Ух ты как быстро ...
Щас логов дать не согу по причине их отсутствия.
Систему переустанвил. А то что 35 мин назад с яндекса отправил так и не пришло. Кстати до этого тоже логи не сразу появлялись хотя на яндекс без проблем и бычтро доходит
А текст (спасибо за него (и за много др. статей)) кстати твой:-) там моих изменений 1-2 и обчелся
Добавлено: 2006-09-06 18:15:47
zorg
Ага, его тока его комментарии были на русском!!
А тут?!??!
Хоть бы их удалил и кнопку "кода" нужно использовать, а то глаза сломать можно!!!!
Добавлено: 2006-09-07 6:47:24
chinga
zorg писал(а):Ага, его тока его комментарии были на русском!!
А тут?!??!
Точно, не доглядел, пардон
zorg писал(а):
Хоть бы их удалил и кнопку "кода" нужно использовать, а то глаза сломать можно!!!!
Когда подумал - было поздно
Добавлено: 2006-09-07 7:56:48
chinga
Вот запарился. ни с каких хостов почта не приходит. в логах ничего не появляется. Может в named.conf allow-query по особому надо прописать.
В allow-transfer надо же тот айпи прописать на который нслукапится регистратор(наприммер для ник.ру нслукап дает 194.85.61.42)?
Добавлено: 2006-09-07 8:00:06
Alex Keda
Добавлено: 2006-09-07 8:06:04
chinga
фаера пока нет (Надеюсь останусь нетронутым после этого поста
)
mttg.kz mail is handled by 10 mail.mttg.kz
Добавлено: 2006-09-07 9:06:35
chinga
По ходу касяк в настройках днс. Не пингуется, хотя я других спокойно вижу. Так все таки какой айпи прописать в allow-transfer?(см. выше)
Добавлено: 2006-09-07 9:34:50
dikens3
chinga писал(а):фаера пока нет (Надеюсь останусь нетронутым после этого поста
)
mttg.kz mail is handled by 10 mail.mttg.kz
http://www.robtex.com/host/mail.mttg.kz.html
Ты посмотри на что указывает A запись в ДНС???
У тебя ip 192.168.1.1??? Исправь DNS. :-)
И ещё, для проверки на спам листы пользуйся этим:
http://www.robtex.com/rbls/
Просто введи свой внешний IP-Адрес.
Добавлено: 2006-09-07 9:46:15
chinga
dikens3 писал(а):
Ты посмотри на что указывает A запись в ДНС???
У тебя ip 192.168.1.1??? Исправь DNS. :-)
Просто введи свой внешний IP-Адрес.
Для нс.мттг.кз тоже значит менять? А в файле обратной зоны тоже? Я думал эти файлы для компов во внутренней сетке.
Кто-нибуть попробуйте меня пингануть по имени, заработало ли.
Как быстро изменения в файлах зон доходят до регистратора?
Добавлено: 2006-09-07 9:52:19
dikens3
chinga писал(а):dikens3 писал(а):
Ты посмотри на что указывает A запись в ДНС???
У тебя ip 192.168.1.1??? Исправь DNS. :-)
Просто введи свой внешний IP-Адрес.
Для нс.мттг.кз тоже значит менять? А в файле обратной зоны тоже? Я думал эти файлы для компов во внутренней сетке.
Кто-нибуть попробуйте меня пингануть по имени, заработало ли.
Как быстро изменения в файлах зон доходят до регистратора?
ns# ping mail.mttg.kz
PING mail.mttg.kz (192.168.1.1): 56 data bytes
Смотри выше на сайте, как только там появится нормальный IP, так и сможем тебя пинговать. :-)
Добавлено: 2006-09-07 9:57:34
chinga
А как насчет
chinga писал(а):
Может в named.conf allow-query по особому надо прописать.
В allow-transfer надо же тот айпи прописать на который нслукапится регистратор(наприммер для ник.ру нслукап дает 194.85.61.42)?
...
Для нс.мттг.кз тоже значит менять? А в файле обратной зоны тоже? Я думал эти файлы для компов во внутренней сетке.
...
Как быстро изменения в файлах зон доходят до регистратора?
Не растолкуете пока там мой реальный айпи не появится?
Добавлено: 2006-09-07 10:13:32
dikens3
Я named настраивал года 2 назад и то кэширующий DNS, но по памяти могу сказать.
allow-query - кому DNS должен отвечать на запросы (Тут для своего домена политика на все запросы, для других только для своего) P.S. Тут я не помню. Почитай.
allow-transfer - с кем нужно обмениваться (Тут нужна серьёзная политика, т.к. зоны нефига всем раздавать, обмен происходит со 2-ым твоим DNS)
P.S. Есть ещё DJBDNS(типа named), но он не может поддерживать много доменов:
Пример:
mail.ru и все типа xxx.mail.ru будет нормально поддерживать. Да и правила для IPFW к примеру писать просто замечательно, т.к. у него есть uid не root
10700 16804 2792698 allow udp from any 53 to me in via rl0 uid Gdnscache limit src-port 500
Добавлено: 2006-09-07 10:16:45
chinga
Добавлено: 2006-09-07 10:36:41
dikens3
http://www.freebsd.org.ru/how-to/dns/securing-bind.html
Поищи в гугле named.conf, не ленись, много чего уже написано до тебя и для тебя. :-)
Добавлено: 2006-09-07 10:52:21
chinga
Теперь по фаеру.
Все делал по статье лиссяры IPFW (использовал первый набор правил). Фря 6.1. Фаер в ядре :
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
Сохранил конфиг в /етс/ipfw.conf
Далее в рс.конф
Код: Выделить всё
firewall_script="/etc/ipfw.conf"(Потом пробовал firewall_type)
После рестарта перестал резолвится.
Что значит (ядро пишет)
ipfw2 (+ipv6) initialized, divert loadable,
rule-based forwarding disabled, default to deny, logging limited to 100
Нормально ли то, что после собщений ядра при загрузке, (там гдн пишет что намед, екзим етс. загружены) не пишет ничего про фаер?
Ой мужики, все я побежал учиться
Всем до завтра
Добавлено: 2006-09-07 11:06:51
dikens3
firewall_enable="YES"
Это поставь^^
firewall_script="/etc/myfirewall.sh"
Исполняемый /etc/myfirewall.sh:(Так проще, из MC на нём ENTER нажал и новые правила.:-))
Код: Выделить всё
#!/bin/sh -
ifout="rl0"
iflan="fxp0"
mylan="192.168.150.0/24"
inetip="82.208.*.*/28"
##############################################
# 1 таблица, куда нельзя ходить
fwtable="/sbin/ipfw table"
${fwtable} 1 f
NETS=" 10.0.0.0/8 172.16.0.0/12 169.254.0.0/16 192.0.2.0/24 192.168.0.0/16 224.0.0.0/4 240.0.0.0/4 "
for lan in ${NETS}
do
${fwtable} 1 add $lan
done
##############################################
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
# Пускаем lo
${fwcmd} add pass all from any to any via lo0
# Пускаем Нашу сеть
${fwcmd} add pass all from any to any via ${iflan}
# Прибиваем ненужный траффик
${fwcmd} add deny log all from table\(1\) to me in via ${ifout}
Я привёл тебе пример работы с таблицей, как ты понимаешь все входящие с инета с такими ip-Адресами не жильцы:-) Там по задачам собственно.
Добавлено: 2006-09-08 8:50:58
chinga
Вот это стоит сразу после инициализации обеих сетевух
Код: Выделить всё
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="vr0"
natd_flags="-m -u"
Сперва рс.фиревол заменил конфигом лиссяры а потом третьего dikens"а.
После перезагрузки на ipfw show стоит 65535 дэнай ... Почему правила не загружаются сами? Делаю
Код: Выделить всё
sh /etc/rc.firewall
ipfw:getsockopt(IP_FW_ADD): Invalid argument
ipfw:getsockopt(IP_FW_ADD): Invalid argument <- Was is das?
Правила вроде все загружены, а пинга на другие хосты нет. Может из-зa того что еще squid'a не ставил
Добавлено: 2006-09-08 9:34:44
chinga
Блин, грузил модулем, правила не загрузились. Делаю
- ipfw:getsockopt(IP_FW_ADD): Invalid argument
уже в 4 экземплярах, но пинг во внешний мир пошел
И что это за ошибки?
А вот если грузится ядром где он вкомпилирован ероров два и пинг лишб на локалхост.
Так все таки к чему это:
(ядро пишет)
ipfw2 (+ipv6) initialized, divert loadable,
rule-based forwarding disabled , default to deny, logging limited to 100
Добавлено: 2006-09-08 10:17:09
dikens3
ipfw2 (+ipv6) initialized, divert loadable,rule-based forwarding disabled , default to deny, logging limited to 100
Правила напиши какие поднимаешь.
И что говорит ipfw -ad l
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options TCP_DROP_SYNFIN
options IPFIREWALL_FORWARD
options DUMMYNET
options DEVICE_POLLING
options HZ=1000
^^ Добавь в ядро и пересобери.
а для начала попробуй добавить в /etc/sysctl.conf
Добавлено: 2006-09-08 10:22:09
chinga
Что за ^^ и где именно его добавлять?
ipfw -ad
l че такое?
Все из статьи Лиссяры тока мои адреса(а нетмаск для внешнего я правильно написал?) Кажется еще строку про squid забыл убрать
Код: Выделить всё
!/bin/sh
FwCMD="/sbin/ipfw -q "
LanOut="vr0"
LanIn="re0"
IpOut="88.204.141.106"
NetMask="255.255.255.252"
IpIn="192.168.1.1"
NetMask="24"
NetIn="192.168.1.0"
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow gre from any to any via ${LanIn}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any
Добавлено: 2006-09-08 10:31:15
chinga
Кто-нить поскидывайте-ка свои rc.conf, файл с правами, конфиг ядра сюды. chingam
yandex.ru Желательно с 6 или хотябы с 5 ветки серваков
Скажу спасибо
Ладно дзвтра.
Добавлено: 2006-09-08 10:43:50
Alex Keda
Код: Выделить всё
/usr/ports/>cat /etc/rc.conf | grep firew
# firewall settings
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
/usr/ports/>
Код: Выделить всё
/usr/ports/>cat /usr/src/sys/i386/conf/main-smp-ipfw | tail -25
# SMP
options SMP # Symmetric MultiProcessor Kernel
# Surecom 320
device my
# color console
options SC_NORM_ATTR=(FG_GREEN|BG_BLACK)
options SC_KERNEL_CONS_ATTR=(FG_RED|BG_BLACK)
options SC_HISTORY_SIZE=2022
# ACPI
device acpi
# FIREWALL
options IPFIREWALL # собственно файрволл
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле
# написано `log`
options IPFIREWALL_VERBOSE_LIMIT=5000 # ограничение логов (повторяющихся) - на
# случай атак типа флудинга
# (я, правда, 100 ставлю)
options IPFIREWALL_FORWARD # перенаправление (форвардинг) пакетов
# например, для прозрачного прокси
options IPDIVERT # если нужен NAT (трансляция адресов)
options DUMMYNET # если понадобится ограничивать скорость
# инета пользователям (обычно - да :))
/usr/ports/>
Добавлено: 2006-09-08 10:46:05
chinga
Энто я закоментил мож иза него
