The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Совместная работа spamd и IPFW V2 в режиме грейлис..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Совместная работа spamd и IPFW V2 в режиме грейлис..."  
Сообщение от opennews (??) on 02-Фев-07, 16:34 
Alex Samorukov поделился техникой (http://www.opennet.dev/base/net/spamd_freebsd_ipfw2.txt.html) использования spamd совместно с пакетным фильтром IPFW2 во FreeBSD.


URL: http://www.opennet.dev/base/net/spamd_freebsd_ipfw2.txt.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=9704

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от aim email(??) on 02-Фев-07, 16:34 
интересно -- а что-нибудь похожее есть для Linux+iptables?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от Radeon email on 03-Фев-07, 00:01 
Вопрос не в тему несколько:
Есть ли для Постфикса greylisting сервера написанные на С и не использующие для хранения информация всякие БД ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от yarodin (ok) on 03-Фев-07, 08:44 
>Вопрос не в тему несколько:
>Есть ли для Постфикса greylisting сервера написанные на С и не использующие
>для хранения информация всякие БД ?


Есть /usr/ports/mail/gld/, только там база в mysql

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от gennady (??) on 03-Фев-07, 11:54 
А почему именно на C? И как использовать грейлист без БД?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от GateKeeper (??) on 03-Фев-07, 12:02 
Имелось ввиду СУБД. Как, собственно, у spamd: СУБД не используется, хотя база есть.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от Аноним on 03-Фев-07, 19:57 
спасибо за статью. Все заработало на ура. Единственное, что надо бы добавить, это собрать ядро с options IPFIREWALL_FORWARD а то пришлось немного повозиться.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от _Ale_ (??) on 04-Фев-07, 09:37 
читаю и думаю...
автору конечно спасибо за статью и его верность фре вызывает уважение, но мысль не покидает - насколько все проще это делается в родной операционке - опенке...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от GateKeeper (??) on 04-Фев-07, 11:19 
Оно и на фре с pf делается просто до безобразия: make install clean
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от Samm email on 04-Фев-07, 12:17 
Я не совсем понимаю к чему это. Во первых оно и во freebsd с pf делается "проще". Во вторых - верность фре тут ни при чём - просто даже день подобных разборов полётов был бы несравним с миграцией ipfw -> pf. А держать 2 firewall ради spamd  я считаю некорректным. А то, что в open оно проще - естественно, там оно в  source tree, а тут - (пока ещё) кривой порт.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от GateKeeper (??) on 04-Фев-07, 19:48 
Кривой он только в случае, когда его пытаются использовать не по прямому назначению. Т.е. - в связке с ipfw. Тео и Ко изначально писали его для pf. И в связке с pf он у меня, например, даже на FreeBSD работает без нареканий с того самого момента, как я написал make install clean и прописал spamd_enable="YES" в /etc/rc.conf
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от Samm email on 05-Фев-07, 09:53 
>Кривой он только в случае, когда его пытаются использовать не по прямому
>назначению. Т.е. - в связке с ipfw. Тео и Ко изначально
>писали его для pf. И в связке с pf он у
>меня, например, даже на FreeBSD работает без нареканий с того самого
>момента, как я написал make install clean и прописал spamd_enable="YES" в
>/etc/rc.conf
Нет. Он просто кривой. О чём я и написал уже 3PR.
По пунктам:
1) Там есть WITH_IPFW=yes. Которую, вероятно, даже не проверяли. Если у нас есть фича которая заявлена, но не работает - это криво.
2) Он конфликтует с spamassasin.
3) Даже в вашем варианте он не поставил spamlogd.
4) Порт уже сильно outdated. В текущем code base openbsd spamd произошло множество полезных улучшений.

Назовите мне, где же тут "прямой" порт? Кстати, если вы просто сделали make install clean и прописали spamd_enable="yes" - то вы получили непонятно что ;-) Без правил firewall (хоть для ipfw, хоть для pf)  оно не работает )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от GateKeeper (??) on 06-Фев-07, 00:20 
Естественно, spamd.conf я тоже правил и pf.conf - тоже. Более того, я после некоторого времени правил pf.conf еще раз и дописывал авто-whitelist в качестве фильтра к своему почтовому серверу. Но, верно, Вы пытаетесь зацепиться за соломинку и высасываете аргументы из пальца, хотя сильно сомневаюсь, что Вы не поняли, что речь шла о том, что патчить и издеваться над портом для того, чтобы он заработал, мне не пришлось.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от GateKeeper (??) on 04-Фев-07, 19:50 
PS. Тут не раз пробегало, что одновременно вполне себе успешно работают и ipf, и ipfw, и pf. Потому вообще не вижу никаких особых причин, кроме религиозных, чтобы упорно пытаться использовать spamd с неродным для него ipfw.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от Samm email on 05-Фев-07, 09:39 
>PS. Тут не раз пробегало, что одновременно вполне себе успешно работают и
>ipf, и ipfw, и pf. Потому вообще не вижу никаких особых
>причин, кроме религиозных, чтобы упорно пытаться использовать spamd с неродным для
>него ipfw.
Вы, вероятно, так и не прочитали статью. Работают? Да, работают. Дома, кстати, у меня именно такая конфигурация - PF + IPFW. Но есть такая штука как производительность стека. Что для сервера, вобщем-то, критично. И ради spamlogd добавлять в packet flow ещё 1 firewall - это несколько неразумно. По поводу "с неродным для него". Родными, простите, могут быть папа или мама. В spamd была поддержка IPFW, которую я проверил, и, в меру сил, довёл до работоспособного состояния. Код, который в spamd общается с FW - это максимум 5% от проекта. После выполнения действий указанных в статье - всё великолепно работает, кроме того результатом стали патчи, которые позволят в будущем не наступать на подобные грабли. А что до религии - не стоит, на мой взгляд, столь глупо бросаться словами, да, уж простите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от YuryD (??) on 05-Фев-07, 07:54 
А собственно зачем мучить pf/ipfw ? Существует масса грейлистов для sendmail, использующих milter . В чем великая сермяжная правда ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от Samm email on 05-Фев-07, 09:47 
>А собственно зачем мучить pf/ipfw ? Существует масса грейлистов для sendmail, использующих
>milter . В чем великая сермяжная правда ?

Пытайтесь читать текст до его комментирования. Помогает избегать подобных вопросов.

Поехали:
1) На разных серверах в силу разных причин стоят разные почтовики. И везде, кстати, не sendmail ;-) Несомненно есть решения как для exim, так и для postfix. Но они получились бы менее универсальные и переносимые.
2) BSD Spamd мне понравился тем, что написан на C и использует минимальное количество ресурсов, не просит внешней СУБД, поддерживает DNSBL, красиво написан. Кроме того, подобный подход позволяет сильно экономить ресурсы своего почтовика и пожирать ресурсы MTA спамера )
3) Идея использовать forwarding и таблицы fw для грейлистинга мне показалась забавной и занимательной. Если использовать только тривиальные решения - работа, как по мне, становится скучной и неинтересной.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от YuryD (??) on 05-Фев-07, 10:24 
>Идея использовать forwarding и таблицы fw для грейлистинга мне показалась >забавной и занимательной. Если использовать только тривиальные решения - работа, >как по мне, становится скучной и неинтересной.

Поясняю, при падении по какой-либо причине spamd вы останетесь без почты вообще,
с милтером этого не происходит. И если сей продукт без рашпиля даже не собирается,
то как его в продакшен ставить ? И костыли с рутовыми полномочиями для установки правил pf/ipfw это просто опасно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от Samm email on 05-Фев-07, 11:41 
>>Идея использовать forwarding и таблицы fw для грейлистинга мне показалась >забавной и занимательной. Если использовать только тривиальные решения - работа, >как по мне, становится скучной и неинтересной.
>
> Поясняю, при падении по какой-либо причине spamd вы останетесь без почты
>вообще,
1) Я не останусь. Для экспериментов был выбран малозагруженный сервер с терпеливыми пользователями ;-)
2) Nagios НИКТО не отменял. И минут через 10 я узнаю о проблеме и смогу её устранить. Пока, впрочем, ничего подобного не происходило. По поводу милтера - ещё раз - нет там сендмейла. и не будет.
>с милтером этого не происходит. И если сей продукт без рашпиля даже
>не собирается,
>то как его в продакшен ставить ?
Почитайте статью. Я в конце ясно написал - что для production оно НЕ совсем готово.
В моих планах - дописать полноценную поддержку PF и добавить chroot. Что же насчёт  production и рашпиля - тоже спорный вопрос. На многих моих production серверах весьма долго жил патченый nagios на предмет работы с unix sockets. Патчи, которые я сделал, nagios team интегрировал в проект ~через месяц после отправки. А новая версия вышла вообще  через месяца 3. Или другой пример - это clamav + libunrar. Поддержка rar3  в clamav до сих пор оставляет желать, а патчи от McCС + мои правки libubrar (которые, кстати, принял Рошаль) успешно интегрированы в порт clamav и работают у меня на достаточно загруженных серверах.

>И костыли с рутовыми полномочиями
>для установки правил pf/ipfw это просто опасно.
Очень спорный вопрос.  Хотя опять же - в моих планах понижение полномочий сразу после открытия сокета IPFW. Кстати, был ещё патч для управления IPFW через файл (/dev/ipfw), а не через raw_sockets, но к сожалению, эта идея не была поддержана. Я думаю, что если за 2 недели мейнтейнер не раздуплится -  я просто заберу порт себе и сделаю нормальный патчсет для IPFW. Может быть даже сделаю форк проекта для более удобной работы с.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от YuryD (??) on 05-Фев-07, 14:49 
>>>Идея использовать forwarding и таблицы fw для грейлистинга мне показалась >забавной и занимательной. Если использовать только тривиальные решения - работа, >как по мне, становится скучной и неинтересной.

Идея бесспорно интересна.

>2) Nagios НИКТО не отменял. И минут через 10 я узнаю о
>проблеме и смогу её устранить. Пока, впрочем, ничего подобного не происходило.

Вы не спите, не едите, личной жизни не ведете :) (Ничего личного)

>себе и сделаю нормальный патчсет для IPFW. Может быть даже сделаю
>форк проекта для более удобной работы с.

Вот за это - тремя руками за!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от Radeon email on 05-Фев-07, 23:01 
>себе и сделаю нормальный патчсет для IPFW. Может быть даже сделаю
>форк проекта для более удобной работы с.
Да, за это будет просто куча народу, ЗА!!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Совместная работа spamd и IPFW V2 в режиме грейлистинга."  
Сообщение от necotyan email(??) on 06-Фев-07, 16:29 
Поставил тут на, как Вы там говорите "продакшен", сервер. Через сутки наблюдаю результат:

/var/log > spamdb > /dev/null
Segmentation fault (core dumped)

/var/log > spamdb | wc
   21966   21967 2134016
Segmentation fault (core dumped)

/var/log > spamdb | grep GREY | wc
   19651   19651 1995509
Segmentation fault (core dumped)

/var/log > spamdb | grep WHITE | wc
    2278    2278  134412
Segmentation fault (core dumped)

/var/log > ipfw table 1 list | wc
    2301    4602   43474

В логе запись "Feb  6 17:10:30 proxy2 spamd[82108]: whitelisting 81.18.128.252 in /var/db/spamd", а "ipfw table 1 list | grep 81.18.128.252" дает пустую строку.
Наверное неработает уже :( ):

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру