Messages

61

Russian / Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal

« on: May 18, 2012, 02:25:38 pm »

Вопрос снимается. Поставил zentyal на виртуалку - 2 WAN через разные роутеры. Все работает и через default gateway и через не default. На рабочем сервере пришлось удалить все gateways и завести по-новой. Теперь трафик четко прилипает к интерфейсам.

62

Russian / Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal

« on: May 16, 2012, 10:57:27 am »

Там не только в консоли дело (вопрос безопасности другими средствами решается), но и сам диалог SMTP, если чужой сервер шлет моему письмо через WAN2, идет асимметрично. Запросы извне идут на WAN2, а ответы postfix zentyal - через WAN1. Я просто прогнозирую ситуацию, что если бы перед zentyal не стоял мой умница-роутер, то через WAN2 ни к консоли, ни по SMTP и вообще ни к какому сервису zentyal никто бы подключиться не мог из-за треугольного роутинга.

63

Russian / Re: пропадает инет

« on: May 15, 2012, 03:08:03 pm »

Убедитесь в том, что никто в локальной сети не прописывает себе руками IP LAN Zentyal))

64

Russian / 2-й WAN, проблемы с доступом извне к сервисам Zentyal

« on: May 15, 2012, 09:04:10 am »

Использую Zentyal как почтовый сервер подключенный одновременно к 2-м провайдерам.
WAN1: 195.xxx.xxx.134/30 GW 195.xxx.xxx.133 (default)
WAN2: 95.yyy.yyy.50/30 GW 95.yyy.yyy.49
Не могу понять, это так и задумано, что если извне подключаешься через WAN2 к Zentyal, то ответы летят через WAN1 (default gateway), или настроил криво?
Проблемы никакой нету. Фактически Zentyal стоит в DMZ и роутер, который перед ним, эту ситуацию легко разруливает. Просто в статистике того интерфейса роутера, который смотрит на WAN2 Zentyal, заметил странное - отправленных пакетов куча, а принятых от Zentyal - 0. Стал разбираться, так и есть - ответы от Zentyal летят через WAN1 с адресом источника 95.yyy.yyy.50. Это нормально, если не настроить толком маршрутизацию (ну так например http://lartc.org/howto/lartc.rpdb.multiple-links.html), но не нормально для дистрибутива, который официально поддерживает multiwan.
Может ли кто-нибудь, кто использует Zentyal с 2-мя провайдерами, подтвердить или опровергнуть то, что к сервисам Zentyal нельзя подключиться извне через тот интерфейс, шлюз которого не является для Zentyal шлюзом по умолчанию?

65

Russian / Re: Волшебный файл для борьбы со спамерами

« on: March 27, 2012, 08:11:12 am »

rubic , а где набыдил?  Если не секрет конечно...

ссылку нашел гуглом по запросу "postfix dsl regexp" в этом обсуждении: http://tech.groups.yahoo.com/group/postfix-users/message/268586
Надо отметить вот что: в файле собраны customer pools известных автору провайдеров. Хотя файл свежий (август 2011), он немного не универсальный, т.к. каких-то провайдеров автор не знает, постоянно появляются новые и т.д. Однако в том же обсуждении есть ссылка на японский способ борьбы со спамом: http://gabacho.reto.jp/en/anti-spam/anti-spam-system.html, где тоже есть некоторые полезные regexp уже без привязки к провайдерам. Из него для себя взял правила 1-3 как отсекающие наибольший объем спама и положил их прямо в тот же fqrdns.pcre. Первое правило, правда, пришлось сразу переделать, т.к. оно блокировало гугл-почту))

66

Russian / Волшебный файл для борьбы со спамерами

« on: March 23, 2012, 09:11:32 am »

Нашел на просторах инета: http://www.hardwarefreak.com/fqrdns.pcre Может кому-то, кто держит почту на zentyal, тоже пригодится. Коротко говоря, это огромный набор регулярных выражений, позволяющий отсечь почту, которую спамеры рассылают с домашних компьютеров, дедиков и тому подобного. Т.е., которая идет не с нормальных почтовых серверов.
Инструкция по применению есть в начале самого файла. Кто под виндой, открывайте wordpad'ом.
Отвечу на вопросы.

UPD: вот так мой сервер теперь им отвечает:

554 5.7.1 <109-184-223-135.dynamic.mts-nn.ru[109.184.223.135]>: Unverified Client host rejected: Dynamic - Please relay via ISP (mts-nn.ru)

67

Russian / Re: прокси

« on: March 23, 2012, 08:45:59 am »

Режим прокси тут скорее всего не причем. У вас ведь до этого компы ходили в обход прокси - вот и не было этой ошибки. Гуглите "Zero Sized Reply" - в сети полно информации по теме на русском.
На вскидку, советуют почистить кэш squid, удалить coockies в браузерах, проверить MTU провайдера.

68

Russian / Re: прокси

« on: March 22, 2012, 03:53:14 pm »

в браузере прокси не настроен. Как правильно создать правило для ограничения доступа в инет из lan на 80-й порт?

Ну, Firewall -> Packet filter -> Filtering rules for internal networks -> Configure rules -> Add new
Decision: DENY
Source: Any
Destination:Any
Service: HTTP
Add
и стрелочками поместить это правило на верх списка.
Только имейте ввиду, что все компы, где браузер не настроен на прокси сразу потеряют инет.   

69

Russian / Re: прокси

« on: March 22, 2012, 03:31:36 pm »

Сейчас прокси у вас в непрозрачном режиме. Вы не ответили на вопрос: как ограничивается доступ компов в инет? Если на компе в браузере не настроен прокси, то комп пойдет в инет мимо него. Нужно правилами брандмауэра ограничить доступ компов из LAN в инет на 80-й порт.

70

Russian / Re: прокси

« on: March 22, 2012, 02:50:03 pm »

Простите за глупый вопрос, но как прокси может ограничить выход компов в инет? Без шуток, я не нашел в его настройках такой возможности. Если прокси настроен как non transparent, то попадут ли компы в инет зависит только от настроек их браузеров и брандмауэра zentyal. Сделайте в консоли zentyal

iptables-save > rules.txt

а затем /home/username/rules.txt - сюда, в студию.

71

Russian / Re: переадресация портов

« on: March 22, 2012, 07:44:15 am »

В чем я заблуждаюсь ?

Извините, я прочитал вашу фразу о фаерволе как: проброс порта работает до [прозрачного] сквида. Это - заблуждение, выше я написал почему. Возможно, вы имели ввиду что-то другое, но то, о чем говорю я, является ключевым моментом проблемы со squid:

Схема работает в живой системе!

Схема не работает и не может работать при условии, что squid запущен в прозрачном режиме (у вас это точно так?). По вашей же ссылке http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET вы в вашем решении выполнили только 2 действия из 3-х необходимых. Третье действие - цитирую:

Если вы думаете, что на этом можно остановиться, то вы ошибаетесь! Представим себе ситуацию, когда в качестве клиента выступает сам брандмауэр. Тогда, к сожалению, пакеты будут передаваться на локальный порт с номером 80 самого брандмауэра, а не на $HTTP_IP. Чтобы разрешить и эту проблему, добавим правило:

iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT \
--to-destination $HTTP_IP

- осталось невыполненным, и его невозможно выполнить из GUI zentyal.
Так вот, когда мы идем на наш сайт через squid, это и есть "в качестве клиента выступает сам брандмауэр", т.к. squid является локальным процессом брандмауэра (zentyal) и забирает страницу от себя, а уже потом передает нам. Если squid сам не может забрать страницу с INET_IP (см. цитату), то и нам ничего не отдаст. Это прекрасно подтверждается практикой:


Ошибка доступа к сайту с самого zentyal (websrv.test.local - имя сайта).


Ошибка доступа к сайту с клиентского компьютера (192.168.0.240 - внешний адрес zentyal. В него же наружным DNS сервером разрешается имя websrv.test.local).

Настройки:


Проброс портов. eth0 - наружный интерфейс с адресом 192.168.0.240 (INET_IP), eth1 - внутренний c IP=192.168.1.56. Локальный адрес веб-сервера - 192.168.1.253.


Настройки squid.


Статус модулей.

Стоит отключить модуль squid, или вместо этого в консоли zentyal по рекомендации из вашей ссылки выполнить команду:

iptables -t nat -A OUTPUT --dst 192.168.0.240 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.253

как сайт начинает нормально открываться.

72

Russian / Re: переадресация портов

« on: March 21, 2012, 12:49:30 pm »

В Reply #26 я уже приводил такой вариант .

По сути вопроса хотелось бы добавить - фаервол работает до сквида.
Попробовал с 80 портом. По моей схеме проброс работает! Но! Возник вопрос - не смотря на то, что модуль почтового сервера не установлен на зентиале все равно запущен апач который по умолчанию НТТР висит на 80 порту и на НТТРS порту (может отличаться в зависимости от настроек указанных в зентиале) висит админка. Если перенести НТТР апача на другой порт то схема работает.

Как то так.

Вы немного заблуждаетесь. Фаер конечно работает до squid'а, но в прозрачном режиме пакеты в squid перенаправляются именно фаером, причем раньше всех созданных вами PortForward:

-A PREROUTING -j premodules
-A PREROUTING -d xx.xx.xx.xx/32 -i eth2 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.253
-A PREROUTING -d xx.xx.xx.xx/32 -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.253
-A PREROUTING -d xx.xx.xx.xx/32 -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.253
-A PREROUTING -d 192.168.1.56/32 -i eth1 -p tcp -m tcp --dport 26 -j DNAT --to-destination 80.95.34.242:25
-A PREROUTING -d xx.xx.xx.xx/32 -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.253
...
...
-A premodules ! -d 192.168.1.56/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A premodules ! -d 192.168.2.56/32 -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

последние 2 строки - и есть заворот пакетов в squid, а первая - заворот всех пакетов в цепочку premodules. Т.е. сперва обрабатывается цепочка premodules, потом - введенные вами PortForward и т.д.
Что касается apache, то он конечно висит даже если у вас не установлен компонент web server. Ведь кто-то должен отображать веб-интерфейс zential? Думаю компонент web server нужен только для того, чтобы пользователь мог через GUI делать виртуальные хосты. С удалением web server apache не удаляется.

73

Russian / Re: Вопрос

« on: March 21, 2012, 12:31:53 pm »

Я исправил предыдущий пост потому что пропустил мимо ушей тот момент, что Grom уже пытался настроить политику, которую я ему рекомендовал. Хочу убедиться, что он настроил ее правильно. Так что да, ждем))

74

Russian / Re: Вопрос

« on: March 21, 2012, 12:10:28 pm »

Пробовал поставить политику никакого эфекта и в записях домена на локальном сервере прописаны ns, а на сервере хостингов прописаны mx на мой сервер так как почта привязана к домену.
С клиентский приложений где включен STARTTSL все прекрасно уходит и приходит, а вот там где я не могу включить STARTTSL выдает это сообщение хотя если его настраивать на любой другой бесплатный например через mail.ru без поддержки шифрования то все прекрасно уходит а хотелось бы что бы через внутренний сервер!

Все понятно. Как я и предполагал, проблема между вашим почтовым клиентом и вашим сервером. Приложите main.cf.mas из /usr/share/zentyal/stubs/mail или сделайте скриншоты вашей политики.

75

Russian / Re: переадресация портов

« on: March 21, 2012, 12:02:00 pm »

Тогда вопрос еще такой, не помешает ли DNS Zentyal работе MS DNS, который поддерживает работу AD в 192.168.2.0/24?

Не помешает, они ведь обслуживают разные зоны (условно, domain.ru и domain.local). Если у вас на клиентских компьтерах в качестве DNS сервера прописан DNS AD, то проще даже на нем завести зону прямого просмотра domain.ru и в ней прописать, что www.domain.ru - это 192.168.2.56, а mail.domain.ru и все остальное - это 192.168.1.253
Осторожность с этим трюком (он называется split-DNS) нужна вот где: если у вас в domain.ru есть сервисы, хостящиеся на внешних серверах (к примеру, www - у вас в локалке, а mail - на внешнем сервере в интернете), то в для всех внешних сервисов в этой зоне придется прописать их реальные IP. Зона, которую вы создадите будет AUTHORITATIVE для локальных клиентов, т.е. DNS AD не будет искать где-то в интернете IP внешних сервисов, он только посмотрит в локальной зоне и, если соответствующей записи в ней нет, будет считать, что ее нет вообще.
Хотя некоторые товарищи http://www.petri.co.il/forums/showthread.php?t=41717 как-то вроде умудряются сделать простой host override без необходимости прописывать внешние сервисы в зоне.
Скорее всего последний абзац вас не касается, но все же имейте ввиду.