[mdk-re] help understand pleas

[mdk-re] help understand pleas

[Andriy Dobrovol's'kii]

Hi,
Помогите разобраться с ситуацией. Получил от своего 
постфикса такую бумагу:

Message 1:
Заголовок подрезаю для краткости.
Subject: Postfix SMTP server: errors from unknown[65.215.92.170]

Transcript of session follows.

  Out: 220 sunrise.iop.kiev.ua ESMTP Postfix
  In:  HELO ardl.com
  Out: 250 sunrise.iop.kiev.ua
  In:  MAIL From: <acevedo@slo.net>
  Out: 250 Ok
  In:  RCPT To:<runninbill2002@yahoo.com>
  Out: 554 <runninbill2002@yahoo.com>: Recipient address 
rejected: Relay access
      denied
  In:  QUIT
  Out: 221 Bye

No message was collected successfully.

Как нужно действовать в такой ситуации? Если я правильно 
понимаю, кто-то искал черный ход на мою машину?

Андрей

Re: [mdk-re] help understand pleas

[Vyt]

[-- Attachment #1: Type: text/plain, Size: 518 bytes --]

On Fri, 18 Jan 2002 14:25:02 +0200
"Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote:

<skipped>

> rejected: Relay access
>       denied
>   In:  QUIT
>   Out: 221 Bye
> 
> No message was collected successfully.
> 
> Как нужно действовать в такой ситуации? Если я правильно 
> понимаю, кто-то искал черный ход на мою машину?

Обсуждалось, поищите в архиве.

Вкратце - ничего страшного, на open relay проверяют, у меня таких
штук 10 за неделю.

<skipped>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [mdk-re] help understand pleas

[Andriy Dobrovol's'kii]

Спасибо за отклик.

Vyt wrote:

> On Fri, 18 Jan 2002 14:25:02 +0200
> "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote:
> 
> <skipped>
> 
>>rejected: Relay access
>>      denied
>>  In:  QUIT
>>  Out: 221 Bye
>>
>>No message was collected successfully.
>>
>>Как нужно действовать в такой ситуации? Если я правильно 
>>понимаю, кто-то искал черный ход на мою машину?
>>
> 
> Обсуждалось, поищите в архиве.
> 
> Вкратце - ничего страшного, на open relay проверяют, у меня таких
> штук 10 за неделю.
> 

Я помню то обсуждение. Поэтому не спрашиваю про опасность 
события. Процитированые строчки меня и успокоили, что вроде 
пока паниковать рано. Вопрос КАК НУЖНО ДЕЙСТВОВАТЬ В ТАКОЙ 
СИТУАЦИИ?.
Слово relay, забыл за непонятностью. :) Это обычная рабочая 
станция. А я обычный рядовой пользователь.
Андрей


> <skipped>
> 

Re: [mdk-re] help understand pleas

[Igor Homyakov]

On Fri, Jan 18, 2002 at 02:51:21PM +0200, Andriy Dobrovol's'kii wrote:
> Спасибо за отклик.
> 
> Vyt wrote:
> 
> >On Fri, 18 Jan 2002 14:25:02 +0200
> >"Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote:
> >
> ><skipped>
> >
> >>rejected: Relay access
> >>     denied
> >> In:  QUIT
> >> Out: 221 Bye
> >>
> >>No message was collected successfully.
> >>
> >>Как нужно действовать в такой ситуации? Если я правильно 
> >>понимаю, кто-то искал черный ход на мою машину?
> >>
> >
> >Обсуждалось, поищите в архиве.
> >
> >Вкратце - ничего страшного, на open relay проверяют, у меня таких
> >штук 10 за неделю.
> >
> 
> Я помню то обсуждение. Поэтому не спрашиваю про опасность 
> события. Процитированые строчки меня и успокоили, что вроде 
> пока паниковать рано. Вопрос КАК НУЖНО ДЕЙСТВОВАТЬ В ТАКОЙ 
> СИТУАЦИИ?.
> Слово relay, забыл за непонятностью. :) Это обычная рабочая 
> станция. А я обычный рядовой пользователь.
> Андрей

Я сделал так:
- контролирую все соединения на 25 порт (чтобы узнать откуда идет
  соединение)
- если через меня пытаються релеить заношу в "черный список"
- если IP засветился больше 3-х раз, администратору посылаться
  письмо. Дольше уще стандарная схема (whois и т.д.)

Все занимает с десяток строк на perl.

-- 
Igor Homyakov
<homyakov(at)ramax.spb.ru>

Re[2]: [mdk-re] help understand pleas

[Dmitry]

ADsk> пока паниковать рано. Вопрос КАК НУЖНО ДЕЙСТВОВАТЬ В ТАКОЙ
ADsk> СИТУАЦИИ?.
ADsk> Слово relay, забыл за непонятностью. :)

А никак. Нехорошие парни попробовали нельзяли использовать вашу машину как
перевалочный пункт для для их почты и спама, получили отлуп и
отвалили. Yahoo постоянно сканит инет в поисках таких машин.
У меня таких пара-тройка в день лазиет.

Re: [mdk-re] help understand pleas

[Roman S]

[-- Attachment #1: Type: text/plain, Size: 270 bytes --]

On Птн, 2002-01-18 at 15:25, Andriy Dobrovol's'kii wrote:
>   Out: 554 <runninbill2002@yahoo.com>: Recipient address 
> rejected: Relay access

Кто-то пытался слать что-то через ваш узел, но был послан на все четыре
буквы.
Всё Ok. 

-- 
Rgds!
Roman Savelyev.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [mdk-re] help understand pleas

[Olga]

> >>Как нужно действовать в такой ситуации? Если я правильно 
> >>понимаю, кто-то искал черный ход на мою машину?
> >>
> > 
> > Обсуждалось, поищите в архиве.
> > 
> > Вкратце - ничего страшного, на open relay проверяют, у меня таких
> > штук 10 за неделю.
> > 
> 
> Я помню то обсуждение. Поэтому не спрашиваю про опасность 
> события. Процитированые строчки меня и успокоили, что вроде 
> пока паниковать рано. Вопрос КАК НУЖНО ДЕЙСТВОВАТЬ В ТАКОЙ 
> СИТУАЦИИ?.
> Слово relay, забыл за непонятностью. :) Это обычная рабочая 
> станция. А я обычный рядовой пользователь.


Извините, если задаю глупый вопрос, но нельзя ли подобную
проблему "вырвать с корнем" соответствующими настройками в
/etc/hosts.allow и /etc/hosts.deny
Т.е. можно ли сделать с помощью этих файлов, чтобы лишь 
локальные пользователи данной рабочей станции могли пользоваться 
ее MTA, какими-либо другими работающими на ней серверами, но 
никто извне не мог бы воспользоваться ими в принципе?
Достаточно ли для этого записать в /etc/hosts.allow
ALL: 127.0.0.1
или нет?

Re: [mdk-re] help understand pleas

[AVL]

On Sat, 19 Jan 2002 01:16:39 +0700
Olga <laedel@pochtamt.ru> wrote:
> /etc/hosts.allow и /etc/hosts.deny
> Т.е. можно ли сделать с помощью этих файлов, чтобы лишь 
> локальные пользователи данной рабочей станции могли пользоваться 
> ее MTA, какими-либо другими работающими на ней серверами, но 
> никто извне не мог бы воспользоваться ими в принципе?
> Достаточно ли для этого записать в /etc/hosts.allow
> ALL: 127.0.0.1
> или нет?

в постфике это можно настроить. но никто этого не делает, потому что
теряется смысл. обычная практика такова 
1)пользователи "нашей" сети могут послать почту куда хотят (релей)
2)все, кому не лень, могут послать письмо "нашему" пользователю  (почтовый
сервер).

если запретить соединение то получить почту через мта не удастся. только
послать.

-- 
С уважением,Любимов А.В.

Re: [mdk-re] help understand pleas

[cornet]

Olga wrote:
> 
> > >>Как нужно действовать в такой ситуации? Если я правильно
> > >>понимаю, кто-то искал черный ход на мою машину?
> > >>
> > >
> > > Обсуждалось, поищите в архиве.
> > >
> > > Вкратце - ничего страшного, на open relay проверяют, у меня таких
> > > штук 10 за неделю.
> > >
> >
> > Я помню то обсуждение. Поэтому не спрашиваю про опасность
> > события. Процитированые строчки меня и успокоили, что вроде
> > пока паниковать рано. Вопрос КАК НУЖНО ДЕЙСТВОВАТЬ В ТАКОЙ
> > СИТУАЦИИ?.
> > Слово relay, забыл за непонятностью. :) Это обычная рабочая
> > станция. А я обычный рядовой пользователь.
> 
> Извините, если задаю глупый вопрос, но нельзя ли подобную
> проблему "вырвать с корнем" соответствующими настройками в
> /etc/hosts.allow и /etc/hosts.deny

Не совсем так. Эти директивы влияют на xinetd а значит и на
работу pop3 но не более того.
smtp от них не зависит, это настраивается непосредственно в
конфигах postfix.

> Т.е. можно ли сделать с помощью этих файлов, чтобы лишь
> локальные пользователи данной рабочей станции могли пользоваться
> ее MTA, какими-либо другими работающими на ней серверами, но
> никто извне не мог бы воспользоваться ими в принципе?
> Достаточно ли для этого записать в /etc/hosts.allow
> ALL: 127.0.0.1
> или нет?

Му собственно в postfix по умолчанию так и есть, в minetworks
стоит 127.0.0.1/32 тоесть отправлять через него почту могут
только локальные юзеры.
Во многих случаях, когда сервисы работают не через xinetd
необходимо именно в их собственных конфигах прописывать кого куда
пускать. Можено решить эту задачу проще и радикальнее - прибить
все это фаерволлом, в правилах которого прописать хосты, порты и
кому куда можно. Хотя это менее гибкий метод, тот же postfix
предостапвляет возможность не только бинарной обработки типа
свой\чужой, но и более интеллектуальные методы разграничения
прав, основываясь на многих критериях и правилах.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re[2]: [mdk-re] help understand pleas

[Maksim Otstavnov]

Hello Olga,

Friday, January 18, 2002, 9:16:39 PM, you wrote:

>> Слово relay, забыл за непонятностью. :) Это обычная рабочая
>> станция. А я обычный рядовой пользователь.

O> Извините, если задаю глупый вопрос, но нельзя ли подобную
O> проблему "вырвать с корнем" соответствующими настройками в
O> /etc/hosts.allow и /etc/hosts.deny

1) Нет, они управляют доступом по pop3, а не по smtp...

O> Т.е. можно ли сделать с помощью этих файлов, чтобы лишь 
O> локальные пользователи данной рабочей станции могли пользоваться 
O> ее MTA, какими-либо другими работающими на ней серверами, но 
O> никто извне не мог бы воспользоваться ими в принципе?

2) ...если задача стоит так, то она решается настройками postfix или
Sendmail, или что там у Вас стоит...

3) ...но, скорее всего, это Вам не надо, поскольку если это рабочая
станция, то на ней, предположительно, хотя бы иногда работают какие-то
работники :) и им, наверное, нужно получать время от времени почту...
в том числе, и с других станций... если они только не забирают все до
единого ее с п/я на других машинах... включая root'а (что
неправильно)...

4) ...а запретить нужно, видимо, именно relay, т.е. прием почты,
предназначенной _другим_ машинам.

5) Соответственно, нужно настраивать postfix или Sendmail именно на
запрет relaying'а, или прикрывать все это файрволом (локальным или на
шлюзе, а лучше двумя).

-- 
-- Maksim Otstavnov <maksim@otstavnov.com> http://www.otstavnov.com
-- Infobusiness weekly (http://www.ibusiness.ru),
--  contributing editor

Re: [mdk-re] help understand pleas

[Olga]

Большое спасибо всем за разъяснения!
Позволю себе спросить еще кое что, немного отклоняясь
от изначальной темы.

Ситуация такая - машина имеет доступ в интернет по 
dial-up (локальная сеть отсутствует или пока отсутствует).
Почту локальных пользователей предполагается отправлять 
postfix'ом (а получать - fetchmail'ом с внешних pop3 серверов).
Предполагается также запустить кэширующий ДНС.
И еще, возможно, предполагается запустить Апач - исключительно для
локальных пользователей (для отладки CGI-программ и web-страниц, 
делаемых с помощью SSI, PHP).

Насколько я понимаю, меры по защите от спамеров/крякеров в этом 
случае обещают быть не сильно сложными.
Хотя (спасибо, что разъяснили :) несколько сложнее, чем мне казалось
на первый взгляд.



> > Извините, если задаю глупый вопрос, но нельзя ли подобную
> > проблему "вырвать с корнем" соответствующими настройками в
> > /etc/hosts.allow и /etc/hosts.deny
> 
> Не совсем так. Эти директивы влияют на xinetd а значит и на
> работу pop3 но не более того.
> smtp от них не зависит, это настраивается непосредственно в
> конфигах postfix.
> 
> > Т.е. можно ли сделать с помощью этих файлов, чтобы лишь
> > локальные пользователи данной рабочей станции могли пользоваться
> > ее MTA, какими-либо другими работающими на ней серверами, но
> > никто извне не мог бы воспользоваться ими в принципе?
> > Достаточно ли для этого записать в /etc/hosts.allow
> > ALL: 127.0.0.1
> > или нет?
> 
> Му собственно в postfix по умолчанию так и есть, в minetworks
> стоит 127.0.0.1/32 тоесть отправлять через него почту могут
> только локальные юзеры.
> Во многих случаях, когда сервисы работают не через xinetd
> необходимо именно в их собственных конфигах прописывать кого куда
> пускать. Можено решить эту задачу проще и радикальнее - прибить
> все это фаерволлом, в правилах которого прописать хосты, порты и
> кому куда можно. 

Вот это как раз и хотелось бы узнать. Решит ли проблему настройка
такая, что никого, кроме localhost, не пускать ни на какой порт?
И если это так и делается просто, то может быть кто-нибудь будет
любезен рассказать, как это сделать.

Re: [mdk-re] help understand pleas

[AVL]

On Sat, 19 Jan 2002 19:52:37 +0700
Olga <laedel@pochtamt.ru> wrote:

> Вот это как раз и хотелось бы узнать. Решит ли проблему настройка
> такая, что никого, кроме localhost, не пускать ни на какой порт?
> И если это так и делается просто, то может быть кто-нибудь будет
> любезен рассказать, как это сделать.

ipchains -A input  DENY
ipchains -A input -s localhost -j Accept



-- 
С уважением,Любимов А.В.

Re: [mdk-re] help understand pleas

[Gosha]

On Sat, 19 Jan 2002 20:49:06 +0300
AVL <info@atmsk.ru> wrote:

> > Вот это как раз и хотелось бы узнать. Решит ли проблему настройка
> > такая, что никого, кроме localhost, не пускать ни на какой порт?
> > И если это так и делается просто, то может быть кто-нибудь будет
> > любезен рассказать, как это сделать.
> 
> ipchains -A input  DENY
> ipchains -A input -s localhost -j Accept

To: Olga <laedel@pochtamt.ru>

Это он шутит так. :-)))
Должно быть наоборот:

ipchains -A input -s localhost -j Accept
ipchains -A input  DENY

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

[mdk-re] Re: help understand pleas

[Mikhail Zabaluev]

Hello Olga,

On Sat, Jan 19, 2002 at 01:16:39AM +0700, Olga wrote:
>
> > >>Как нужно действовать в такой ситуации? Если я правильно 
> > >>понимаю, кто-то искал черный ход на мою машину?
> > >>
> > > 
> > > Обсуждалось, поищите в архиве.
> > > 
> > > Вкратце - ничего страшного, на open relay проверяют, у меня таких
> > > штук 10 за неделю.
> > > 
> > 
> > Я помню то обсуждение. Поэтому не спрашиваю про опасность 
> > события. Процитированые строчки меня и успокоили, что вроде 
> > пока паниковать рано. Вопрос КАК НУЖНО ДЕЙСТВОВАТЬ В ТАКОЙ 
> > СИТУАЦИИ?.

Сохранять спокойствие. Если не лень, узнать провайдера по адресу, с
которого проверяли, и доложить о безобразиях. Но будьте внимательны,
есть службы, которые сканируют open relays для пользы дела (чтобы
заблокировать найденное). Это MAPS RSS, ORBZ, ORDB, Osirusoft, SPEWS и
другие.

> > Слово relay, забыл за непонятностью. :)

С похожим смыслом это слово используется в области радио. Релей-сервер
получает сообщения, чтобы отправить их куда-то еще, но не в свою
локальную сеть. Например, вторичный MX-сервер для некоего домена
переправляет сообщения, адресованные этому домену, на главный
сервер, обслуживающий домен. Открытый релей не делает никаких проверок
ни на адрес и хост отправителя, ни на адрес получателя. Этой мисфичей
в конфигурации по умолчанию печально известен sendmail старых версий.
За Postfix можно не волноваться, чтобы превратить его в открытый
релей, требуется сознательное усилие (mynetworks = 0.0.0.0/0)

> Извините, если задаю глупый вопрос, но нельзя ли подобную
> проблему "вырвать с корнем" соответствующими настройками в
> /etc/hosts.allow и /etc/hosts.deny
> Т.е. можно ли сделать с помощью этих файлов, чтобы лишь 
> локальные пользователи данной рабочей станции могли пользоваться 
> ее MTA, какими-либо другими работающими на ней серверами, но 
> никто извне не мог бы воспользоваться ими в принципе?
> Достаточно ли для этого записать в /etc/hosts.allow
> ALL: 127.0.0.1
> или нет?

Конкретно для postfix может помочь:

inet_interfaces = localhost

Тогда отправлять сообщения через ваш Postfix можно будет только со
127.0.0.1. А все внешние домогательства, насколько я понимаю, будут
отражены connection refused.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
A fool's brain digests philosophy into folly, science into superstition, and
art into pedantry.  Hence University education.
		-- G. B. Shaw

Re: [mdk-re] help understand pleas

[AVL]

On Sun, 20 Jan 2002 11:45:19 +0500
Gosha <gosha@sendmail.ru> wrote:

> Это он шутит так. :-)))
я уже не в том возрасте, когда можно безнаказанно шутить над девушками. :)


> Должно быть наоборот:
мне так не показалось, скорее просто ошибка в синтаксисе.
одна устанавливает политику  _для всей цепочки input _ DENY
а вторая добавляет в цепочку правило.
в таком случае последовательность не должна влиять - это разные вещи.

> 
> ipchains -A input -s localhost -j Accept
> ipchains -A input  DENY

так и есть. Ольга (или ее заместитель:), просьтите старика, склероз и все
такое :) ipchains -P input  DENY

-- 
С уважением,Любимов А.В.

Re: [mdk-re] Re: help understand pleas

[cornet]

Mikhail Zabaluev wrote:
> 
skip.
> С похожим смыслом это слово используется в области радио. Релей-сервер
> получает сообщения, чтобы отправить их куда-то еще, но не в свою
> локальную сеть. Например, вторичный MX-сервер для некоего домена
> переправляет сообщения, адресованные этому домену, на главный
> сервер, обслуживающий домен. Открытый релей не делает никаких проверок
> ни на адрес и хост отправителя, ни на адрес получателя. Этой мисфичей
> в конфигурации по умолчанию печально известен sendmail старых версий.
> За Postfix можно не волноваться, чтобы превратить его в открытый
> релей, требуется сознательное усилие (mynetworks = 0.0.0.0/0)

А вот и хренушки :-)) Не получится - попробуйте сами это
написать, потом пнитесь в него по smtp и глянте /var/log/maillog
- увидите совершенно отчетливые ругательства :-))

Мне тут на днях потребовалось сделать совершенно осознанный open
relay - !!не_получилось!!, postfix отлично отрабатывает записи по
конкретным сетям и хостам, но как только видит 0.0.0.0/0 -
ругается страшными словами на недопустимость такой записи и
просто не работает.

Единственный вопрос который пока что остается открытым для нас -
что это - баг или фича ;-) Еще не решили точно.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] help understand pleas

[Gosha]

On Sun, 20 Jan 2002 13:59:36 +0300
AVL <info@atmsk.ru> wrote:

> > Это он шутит так. :-)))
> я уже не в том возрасте, когда можно безнаказанно шутить над девушками. :)

Хе-хе-хе. Интересно, в каком это возрасте уже нельзя
безнаказанно шутить над девушками? :-)))

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] help understand pleas

[AVL]

On Sun, 20 Jan 2002 18:39:15 +0500
Gosha <gosha@sendmail.ru> wrote:

> On Sun, 20 Jan 2002 13:59:36 +0300
> AVL <info@atmsk.ru> wrote:
> 
> > > Это он шутит так. :-)))
> > я уже не в том возрасте, когда можно безнаказанно шутить над
> > девушками. :)
> 
> Хе-хе-хе. Интересно, в каком это возрасте уже нельзя
> безнаказанно шутить над девушками? :-)))

в том, когда ты уже не уверен, что если эта девушка обидится и уйдет, на
ее место тут же найдется другая. :)

-- 
С уважением,Любимов А.В.

[mdk-re] Re: help understand pleas

[Mikhail Zabaluev]

Hello cornet,

On Sun, Jan 20, 2002 at 02:04:57PM +0300, cornet wrote:
>
> > За Postfix можно не волноваться, чтобы превратить его в открытый
> > релей, требуется сознательное усилие (mynetworks = 0.0.0.0/0)
> 
> А вот и хренушки :-)) Не получится - попробуйте сами это
> написать, потом пнитесь в него по smtp и глянте /var/log/maillog
> - увидите совершенно отчетливые ругательства :-))
> 
> Мне тут на днях потребовалось сделать совершенно осознанный open
> relay - !!не_получилось!!, postfix отлично отрабатывает записи по
> конкретным сетям и хостам, но как только видит 0.0.0.0/0 -
> ругается страшными словами на недопустимость такой записи и
> просто не работает.
> 
> Единственный вопрос который пока что остается открытым для нас -
> что это - баг или фича ;-) Еще не решили точно.

Хороший рекламный ход ;-) Никто не может создать open relay с Postfix.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
I would like to electrocute everyone who uses the word 'fair' in connection
with income tax policies.
		-- William F. Buckley

Re: [mdk-re] Re: help understand pleas

[Sergey S. Skulachenko]

On Sun, 20 Jan 2002 18:54:53 +0300
Mikhail Zabaluev <mhz@alt-linux.org> wrote:

>> Мне тут на днях потребовалось сделать совершенно осознанный
>>open
>> relay - !!не_получилось!!, postfix отлично отрабатывает записи
>>по
>> конкретным сетям и хостам, но как только видит 0.0.0.0/0 -
>> ругается страшными словами на недопустимость такой записи и
>> просто не работает.
>> 
>> Единственный вопрос который пока что остается открытым для нас
>>-
>> что это - баг или фича ;-) Еще не решили точно.

> Хороший рекламный ход ;-) Никто не может создать open relay с
> Postfix.

А разве этот фрагмент из /etc/postfix/main.cf не даёт ответ на
вопрос?:

# By default (mynetworks_style = subnet), Postfix "trusts" SMTP
# clients in the same IP subnetworks as the local machine.
# On Linux, this does works correctly only with interfaces
# specified
# with the "ifconfig" command.
# 
# Specify "mynetworks_style = class" when Postfix should "trust"
# SMTP
# clients in the same IP class A/B/C networks as the local
# machine.
# Don't do this with a dialup site - it would cause Postfix to
# "trust"
# your entire provider's network.  Instead, specify an explicit
# mynetworks list by hand, as described below.
#  
# Specify "mynetworks_style = host" when Postfix should "trust"
# only the local machine.
# 
#mynetworks_style = class
mynetworks_style = subnet
#mynetworks_style = host

Судя по описанию, всё можно сделать, но я не пробовал. У меня
именно subnet стоит, только внутренняя сеть.
____________
С уважением,
С.С.Скулаченко

Re: [mdk-re] Re: help understand pleas

[cornet]

"Sergey S. Skulachenko" wrote:
> 
> On Sun, 20 Jan 2002 18:54:53 +0300
> Mikhail Zabaluev <mhz@alt-linux.org> wrote:
> 
> >> Мне тут на днях потребовалось сделать совершенно осознанный
> >>open
> >> relay - !!не_получилось!!, postfix отлично отрабатывает записи
> >>по
> >> конкретным сетям и хостам, но как только видит 0.0.0.0/0 -
> >> ругается страшными словами на недопустимость такой записи и
> >> просто не работает.
> >>
> >> Единственный вопрос который пока что остается открытым для нас
> >>-
> >> что это - баг или фича ;-) Еще не решили точно.
> 
> > Хороший рекламный ход ;-) Никто не может создать open relay с
> > Postfix.
> 
> А разве этот фрагмент из /etc/postfix/main.cf не даёт ответ на
> вопрос?:
> 
> # By default (mynetworks_style = subnet), Postfix "trusts" SMTP
> # clients in the same IP subnetworks as the local machine.
> # On Linux, this does works correctly only with interfaces
> # specified
> # with the "ifconfig" command.
> #
> # Specify "mynetworks_style = class" when Postfix should "trust"
> # SMTP
> # clients in the same IP class A/B/C networks as the local
> # machine.
> # Don't do this with a dialup site - it would cause Postfix to
> # "trust"
> # your entire provider's network.  Instead, specify an explicit
> # mynetworks list by hand, as described below.
> #
> # Specify "mynetworks_style = host" when Postfix should "trust"
> # only the local machine.
> #
> #mynetworks_style = class
> mynetworks_style = subnet
> #mynetworks_style = host
> 
> Судя по описанию, всё можно сделать, но я не пробовал. У меня
> именно subnet стоит, только внутренняя сеть.

Угу, это судя по описанию :-)) А по практике - не получается - я
по всякому пробовал - не идет open relay ну хоть ты тресни.
Замуровано :-)
Пробовал на postfix-20020112-alt1 это самый свежий из Сизифа.
Более того, я перерыл кучу доков и примеров - нигде конструкции
0.0.0.0/0 не обнаружилось - только действительные реальные сетки
и хосты.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] Re: help understand pleas

[Sergey S. Skulachenko]

On Sun, 20 Jan 2002 22:35:33 +0300
cornet <cornet@altlinux.ru> wrote:

> Угу, это судя по описанию :-)) А по практике - не получается -
> я
> по всякому пробовал - не идет open relay ну хоть ты тресни.
> Замуровано :-)

 Я же говорю, что не пробовал. И даже не знаю, что бы могло меня
подвигнуть на такой эксперимент. Вам всей сети провайдера мало?
Вы хотите через свою вряд ли сильную машинку весь свет
пропустить и оплатить весь трафик? В чём-то надуманная задача.

> Пробовал на postfix-20020112-alt1 это самый свежий из Сизифа.

Цитата ровно из него была. Следим.
sh-2.05$ rpm -qv postfix
postfix-20020112-alt1
____________
С уважением,
С.С.Скулаченко

Re: [mdk-re] Re: help understand pleas

[cornet]

"Sergey S. Skulachenko" wrote:
> 
> On Sun, 20 Jan 2002 22:35:33 +0300
> cornet <cornet@altlinux.ru> wrote:
> 
> > Угу, это судя по описанию :-)) А по практике - не получается -
> > я
> > по всякому пробовал - не идет open relay ну хоть ты тресни.
> > Замуровано :-)
> 
>  Я же говорю, что не пробовал. И даже не знаю, что бы могло меня
> подвигнуть на такой эксперимент. Вам всей сети провайдера мало?
> Вы хотите через свою вряд ли сильную машинку весь свет
> пропустить и оплатить весь трафик? В чём-то надуманная задача.

Задача вовсе не надуманная, если придавить все это smtp
авторизацией. Тогда имея open relay на уровне хостов и
авторизацию по имени и паролю легко сделать публичный сервак к
которому можно доступиться отовсюду, но пустят только после
авторизации. Совершенно реальная задача между прочим ;-)

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

[mdk-re] Re: Postfix-Open-Relay-HOWTO ;)

[Mikhail Zabaluev]

Hello cornet,

On Sun, Jan 20, 2002 at 11:46:17PM +0300, cornet wrote:
>
> > > Угу, это судя по описанию :-)) А по практике - не получается -
> > > я
> > > по всякому пробовал - не идет open relay ну хоть ты тресни.
> > > Замуровано :-)
> > 
> >  Я же говорю, что не пробовал. И даже не знаю, что бы могло меня
> > подвигнуть на такой эксперимент. Вам всей сети провайдера мало?
> > Вы хотите через свою вряд ли сильную машинку весь свет
> > пропустить и оплатить весь трафик? В чём-то надуманная задача.
> 
> Задача вовсе не надуманная, если придавить все это smtp
> авторизацией. Тогда имея open relay на уровне хостов и
> авторизацию по имени и паролю легко сделать публичный сервак к
> которому можно доступиться отовсюду, но пустят только после
> авторизации. Совершенно реальная задача между прочим ;-)

Насколько я понимаю, успешно авторизовавшийся клиент будет считаться
"своим" независимо от mynetworks. Я не прав?

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
I like your game but we have to change the rules.

Re: [mdk-re] Re: Postfix-Open-Relay-HOWTO ;)

[cornet]

Mikhail Zabaluev wrote:
> 
> Hello cornet,
> 
> On Sun, Jan 20, 2002 at 11:46:17PM +0300, cornet wrote:
> >
> > > > Угу, это судя по описанию :-)) А по практике - не получается -
> > > > я
> > > > по всякому пробовал - не идет open relay ну хоть ты тресни.
> > > > Замуровано :-)
> > >
> > >  Я же говорю, что не пробовал. И даже не знаю, что бы могло меня
> > > подвигнуть на такой эксперимент. Вам всей сети провайдера мало?
> > > Вы хотите через свою вряд ли сильную машинку весь свет
> > > пропустить и оплатить весь трафик? В чём-то надуманная задача.
> >
> > Задача вовсе не надуманная, если придавить все это smtp
> > авторизацией. Тогда имея open relay на уровне хостов и
> > авторизацию по имени и паролю легко сделать публичный сервак к
> > которому можно доступиться отовсюду, но пустят только после
> > авторизации. Совершенно реальная задача между прочим ;-)
> 
> Насколько я понимаю, успешно авторизовавшийся клиент будет считаться
> "своим" независимо от mynetworks. Я не прав?

Не правы. Получается такая механика, что сначала смотрится в
mynetwork и если клиент туда не попал - сразу нафиг. Если клиент
из "дружественных" хостов - проводится авторизация.

Это все очень хорошо видно в логах. Впрочем, скорее всего и
описанный Вами подход вполне реализуем - надо с настройками
поиграть. У меня же реализовано например так:
Весь mail.cf полный дефалт, а в конце дописано:

#SASL
smtpd_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/sasldb
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_client_restrictions = permit_sasl_authenticated, reject

Ну и разумеется для этого надо еще postfix с поддержкой sasl
пересобрать, с самим cyrus-sasl подолбаться изрядно (смотрите
сегодняшний репорт на 
http://bugs.altlinux.ru/view_bug_page.php?f_id=0000415
)
ну и вообще не сразу все понятно, хотя на документы SASL_README
и auth.cf не грешу - сам местами лопухался :-)

Такие вот дела...

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

[mdk-re] Re: Postfix-Open-Relay-HOWTO ;)

[Mikhail Zabaluev]

Hello cornet,

On Mon, Jan 21, 2002 at 01:45:23AM +0300, cornet wrote:
>
> > > Задача вовсе не надуманная, если придавить все это smtp
> > > авторизацией. Тогда имея open relay на уровне хостов и
> > > авторизацию по имени и паролю легко сделать публичный сервак к
> > > которому можно доступиться отовсюду, но пустят только после
> > > авторизации. Совершенно реальная задача между прочим ;-)
> > 
> > Насколько я понимаю, успешно авторизовавшийся клиент будет считаться
> > "своим" независимо от mynetworks. Я не прав?
> 
> Не правы. Получается такая механика, что сначала смотрится в
> mynetwork и если клиент туда не попал - сразу нафиг. Если клиент
> из "дружественных" хостов - проводится авторизация.
> 
> Это все очень хорошо видно в логах. Впрочем, скорее всего и
> описанный Вами подход вполне реализуем - надо с настройками
> поиграть. У меня же реализовано например так:
> Весь mail.cf полный дефалт, а в конце дописано:
> 
> #SASL
> smtpd_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/sasldb
> broken_sasl_auth_clients = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_client_restrictions = permit_sasl_authenticated, reject

Ага, вот оно. А если написать:

smtpd_client_restrictions = permit

получим open relay?

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
Arnold's Addendum:
	Anything not fitting into these categories causes cancer in rats.

Re: [mdk-re] Re: Postfix-Open-Relay-HOWTO ;)

[cornet]

Mikhail Zabaluev wrote:
> 
skip.
> > #SASL
> > smtpd_sasl_auth_enable = yes
> > smtp_sasl_password_maps = hash:/etc/sasldb
> > broken_sasl_auth_clients = yes
> > smtpd_sasl_security_options = noanonymous
> > smtpd_client_restrictions = permit_sasl_authenticated, reject
> 
> Ага, вот оно. А если написать:
> 
> smtpd_client_restrictions = permit
> 
> получим open relay?

Нет :-)) Все равно не пущает если в mynetworks не прописан хост.

Мнда, меня другое интересует - как только прописал 
smtpd_client_restrictions = permit_sasl_authenticated, reject
то сразу заработала авторизация, НО почтовик одновременно
перестал и принимать почту снаружи!!
Он отшивает внешние smtp сервера, пытаюшиеся прислать письмо на
его собственных юзеров. Точно так же, как и отшивает
неавторизовавшихся юзеров, посылающих письмо а бы куда. Во, блин
:-(

Я не понимаю, почему в такой ситуации по всей логике поведения
получается, что человек с мыльницей, посылающий чего то куда то
и внешний smtp сервер, посылающий письмо на существующий адрес
данного сервера обрабатываются данным сервером по одним и тем же
правилам - требует авторизации. И то и другое воспринимается как
smtpd_client что , ИМХО, странно.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] Re: help understand pleas

[Sergey S. Skulachenko]

On Sun, 20 Jan 2002 23:46:17 +0300
cornet <cornet@altlinux.ru> wrote:

>> Вы хотите через свою вряд ли сильную машинку весь свет
>> пропустить и оплатить весь трафик? В чём-то надуманная задача.

> Задача вовсе не надуманная, если придавить все это smtp
> авторизацией. Тогда имея open relay на уровне хостов и
> авторизацию по имени и паролю легко сделать публичный сервак к
> которому можно доступиться отовсюду, но пустят только после
> авторизации. Совершенно реальная задача между прочим ;-)

Реальная, о чём Вы поначалу не сказали. Но тогда надо признать,
что у postfix и Exim разные ниши.
____________
С уважением,
С.С.Скулаченко

Re: [mdk-re] Re: help understand pleas

[S. Budnevitch]

On Sun, Jan 20, 2002 at 10:35:33PM +0300, cornet wrote:
> > 
> > Судя по описанию, всё можно сделать, но я не пробовал. У меня
> > именно subnet стоит, только внутренняя сеть.
> 
> Угу, это судя по описанию :-)) А по практике - не получается - я
> по всякому пробовал - не идет open relay ну хоть ты тресни.
> Замуровано :-)
> Пробовал на postfix-20020112-alt1 это самый свежий из Сизифа.
> Более того, я перерыл кучу доков и примеров - нигде конструкции
> 0.0.0.0/0 не обнаружилось - только действительные реальные сетки
> и хосты.

mynetworks = 0.0.0.0/1, 128.0.0.0/1

Это, кажется, работает.

Re: [mdk-re] Re: help understand pleas

[Sergey S. Skulachenko]

On Mon, 21 Jan 2002 08:18:21 +0300
"S. Budnevitch" <budnevitch@mail.mtu.ru> wrote:

>> Более того, я перерыл кучу доков и примеров - нигде
>>конструкции
>> 0.0.0.0/0 не обнаружилось - только действительные реальные
>>сетки
>> и хосты.

> mynetworks = 0.0.0.0/1, 128.0.0.0/1

> Это, кажется, работает.

Вряд ли :-)
____________
С уважением,
С.С.Скулаченко

Re: [mdk-re] Re: help understand pleas

[S. Budnevitch]

On Mon, Jan 21, 2002 at 08:34:16AM +0300, Sergey S. Skulachenko wrote:
> >> Более того, я перерыл кучу доков и примеров - нигде
> >>конструкции
> >> 0.0.0.0/0 не обнаружилось - только действительные реальные
> >>сетки
> >> и хосты.
> 
> > mynetworks = 0.0.0.0/1, 128.0.0.0/1
> 
> > Это, кажется, работает.
> 
> Вряд ли :-)

 По крайней мере письма с одного ip-адреса, с которого postfix почту 
принимать не должен, он пересылает нормально. Больше я не проверял. :-)

[mdk-re] Postfix-Open-Relay-HOWTO ;)

[Maxim]

Здравствуйте, cornet.
Вы писали 21 января 2002 г., 1:45:23:

<skip>

c> Не правы. Получается такая механика, что сначала смотрится в
c> mynetwork и если клиент туда не попал - сразу нафиг. Если клиент
c> из "дружественных" хостов - проводится авторизация.

c> Это все очень хорошо видно в логах. Впрочем, скорее всего и
c> описанный Вами подход вполне реализуем - надо с настройками
c> поиграть. У меня же реализовано например так:
c> Весь mail.cf полный дефалт, а в конце дописано:

c> #SASL
c> smtpd_sasl_auth_enable = yes
c> smtp_sasl_password_maps = hash:/etc/sasldb
c> broken_sasl_auth_clients = yes
c> smtpd_sasl_security_options = noanonymous
c> smtpd_client_restrictions = permit_sasl_authenticated, reject

c> Ну и разумеется для этого надо еще postfix с поддержкой sasl
c> пересобрать, с самим cyrus-sasl подолбаться изрядно (смотрите
c> сегодняшний репорт на 
c> http://bugs.altlinux.ru/view_bug_page.php?f_id=0000415
c> )
c> ну и вообще не сразу все понятно, хотя на документы SASL_README
c> и auth.cf не грешу - сам местами лопухался :-)

c> Такие вот дела...

Я  как  то  тоже  хотел sasl установить. Начал спрашивать тут у народа про него,
почему  в  дистрибутиве  postfix  без  него  идет. В alt ответили что проблемы с
безопасностью у него. Решил пока его не ставить.

-- 
С уважением,
 Maxim                          mailto:max_conf@e-foto.ru

[mdk-re] Re: Postfix-Open-Relay-HOWTO ;)

[Mikhail Zabaluev]

Hello cornet,

On Mon, Jan 21, 2002 at 04:06:34AM +0300, cornet wrote:
>
> Mikhail Zabaluev wrote:
> > 
> skip.
> > > #SASL
> > > smtpd_sasl_auth_enable = yes
> > > smtp_sasl_password_maps = hash:/etc/sasldb
> > > broken_sasl_auth_clients = yes
> > > smtpd_sasl_security_options = noanonymous
> > > smtpd_client_restrictions = permit_sasl_authenticated, reject
> > 
> > Ага, вот оно. А если написать:
> > 
> > smtpd_client_restrictions = permit
> > 
> > получим open relay?
> 
> Нет :-)) Все равно не пущает если в mynetworks не прописан хост.
> 
> Мнда, меня другое интересует - как только прописал 
> smtpd_client_restrictions = permit_sasl_authenticated, reject
> то сразу заработала авторизация, НО почтовик одновременно
> перестал и принимать почту снаружи!!
> Он отшивает внешние smtp сервера, пытаюшиеся прислать письмо на
> его собственных юзеров. Точно так же, как и отшивает
> неавторизовавшихся юзеров, посылающих письмо а бы куда. Во, блин
> :-(
> 
> Я не понимаю, почему в такой ситуации по всей логике поведения
> получается, что человек с мыльницей, посылающий чего то куда то
> и внешний smtp сервер, посылающий письмо на существующий адрес
> данного сервера обрабатываются данным сервером по одним и тем же
> правилам - требует авторизации. И то и другое воспринимается как
> smtpd_client что , ИМХО, странно.

ОК, делаем еще один подход к документации...
Есть еще и smtpd_recipient_restrictions, которые как раз и управляют
relayability. Именно там нужно прописать
permit_mynetworks, permit_sasl_authenticated
А smtpd_client_restrictions лучше оставить в покое.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
Q:	How many Marxists does it take to screw in a lightbulb?
A:	None:  The lightbulb contains the seeds of its own revolution.

[mdk-re] Postfix-Open-Relay-HOWTO ;)

[Maxim]

Здравствуйте, cornet.
Вы писали 21 января 2002 г., 4:06:34:

c> Mikhail Zabaluev wrote:
>> 
c> skip.
>> > #SASL
>> > smtpd_sasl_auth_enable = yes
>> > smtp_sasl_password_maps = hash:/etc/sasldb
>> > broken_sasl_auth_clients = yes
>> > smtpd_sasl_security_options = noanonymous
>> > smtpd_client_restrictions = permit_sasl_authenticated, reject
>> 
>> Ага, вот оно. А если написать:
>> 
>> smtpd_client_restrictions = permit
>> 
>> получим open relay?

c> Нет :-)) Все равно не пущает если в mynetworks не прописан хост.

c> Мнда, меня другое интересует - как только прописал 
c> smtpd_client_restrictions = permit_sasl_authenticated, reject
c> то сразу заработала авторизация, НО почтовик одновременно
c> перестал и принимать почту снаружи!!
c> Он отшивает внешние smtp сервера, пытаюшиеся прислать письмо на
c> его собственных юзеров. Точно так же, как и отшивает
c> неавторизовавшихся юзеров, посылающих письмо а бы куда. Во, блин
c> :-(

c> Я не понимаю, почему в такой ситуации по всей логике поведения
c> получается, что человек с мыльницей, посылающий чего то куда то
c> и внешний smtp сервер, посылающий письмо на существующий адрес
c> данного сервера обрабатываются данным сервером по одним и тем же
c> правилам - требует авторизации. И то и другое воспринимается как
c> smtpd_client что , ИМХО, странно.

Вы  совершенно правы. SMTP не знает кто вы, сервер пересылающий почту или просто
клиент.  Это  такое  устройство  протокола.  Вообще  есть хорошая книга "Система
электронной  почты на основе Linux". Настроек там на самом деле не много, а вот
протоколы  описаны  доступно,  для  человека  начинающегося  интересоваться этой
темой.

А  вы  никогда  не  задумывались,  почему  почти  все  провайдеры  не  разрешают
отправлять почту если IP адрес не входит в их сеть?

Думаю,  что  вопрос с отправкой почты откуда хочешь и ее получением можно решать
только  двумя  почтовыми  серверами.  Один  сервер  отправляет  почту, пользуясь
авторизацией,  а  второй  только  принимает  на локальные адреса. Думаю, что это
самый безопасный способ.

Вообще я читал документацию по SASL там кажется возможен вариант с приемом писем
локальным  пользователям,  но  отшивание  остальных если не ввел пароль. То есть
почти  как  два  сервера.  Но  пробовать не стал. Отправлять почту откуда хочешь
требуется  не  часто.  А рисковать безопасностью из за этого решил что не стоит.
Я сделал проще, если кому надо отправить почту откуда то но через мой сервер, то
можно  поступить двумя способами. Первый, простенький web интерфейсик. А второй,
просто  надо  зайти  на  определенную страницу через пароль, как только заходите
скрипт  записывает  ваш  IP в базу данных postfix, и в течении какого то времени
можно  спокойно  отправлять  почту.  Потом  эти  IP-шники  через некоторое время
убираются.  А если записывать IP адрес например с маской 255.255.0.0, то в таком
случае  сразу  станут доступны все IP этого провайдера, скорее всего :). А через
часик  или  денек эту строку стереть. За это время спамеры особо раскрутиться не
успеют. Слишком мала вероятность. Ну а если даже успеют, то не на долго, так что
вреда особого не будет.

-- 
С уважением,
 Maxim                          mailto:max_conf@e-foto.ru

[mdk-re] help understand please (Firewall)

[Olga]

Olga> Извините, если задаю глупый вопрос, но нельзя ли подобную
Olga> проблему "вырвать с корнем" соответствующими настройками в
Olga> /etc/hosts.allow и /etc/hosts.deny
 
cornet> Не совсем так. Эти директивы влияют на xinetd а значит и на
cornet> работу pop3 но не более того.
cornet> smtp от них не зависит, это настраивается непосредственно в
cornet> конфигах postfix.

cornet> Му собственно в postfix по умолчанию так и есть, в minetworks
cornet> стоит 127.0.0.1/32 тоесть отправлять через него почту могут
cornet> только локальные юзеры.
cornet> Во многих случаях, когда сервисы работают не через xinetd
cornet> необходимо именно в их собственных конфигах прописывать кого куда
cornet> пускать. Можено решить эту задачу проще и радикальнее - прибить
cornet> все это фаерволлом, в правилах которого прописать хосты, порты и
cornet> кому куда можно. 

Вопрос как раз о простом способе сделать это фаерволлом (если таковой
действительно прост и универсален). _Можно ли таким образом закрыть
всем, кроме локальных пользователей, доступ к каким бы то ни было
сервисам, запущенным на данной машине?_

 
Olga> Вот это как раз и хотелось бы узнать. Решит ли проблему настройка
Olga> такая, что никого, кроме localhost, не пускать ни на какой порт?
Olga> И если это так и делается просто, то может быть кто-нибудь будет
Olga> любезен рассказать, как это сделать.
AVL> ipchains -A input -s localhost -j Accept
AVL> ipchains -A input  DENY

Кажется, я неточно сформулировала вопрос.
Речь идет не о полной изоляции (извне не пущать ни единого пакета),
а об изоляции всех локальных сервисов от "домогательств" извне,
оставив их доступными исключительно для локальных пользователей.
И в то же время, оставить локальным пользователям доступ во внешний 
мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
могут пользоваться только лишь локальные пользователи, но доступ к
другим серверам где-нибудь в интернете им (локальным пользователям)
не закрыт. 

Можно ли вообще этого добиться каким-либо общим, универсальным способом,
или необходима настройка по отдельности каждого запускаемого сервиса в 
его собственных конфигах? 








Gosha> Это он шутит так. :-)))
AVL> я уже не в том возрасте, когда можно безнаказанно шутить над девушками. :)
Да в том Вы возрасте, в том - раз от темы фаерволлов и MTA быстро переходите к теме девушек :)

Re: [mdk-re] help understand please (Firewall)

[Vyt]

[-- Attachment #1: Type: text/plain, Size: 1731 bytes --]

On Mon, 21 Jan 2002 15:44:18 +0700
Olga <laedel@pochtamt.ru> wrote:

<skipped>

> Вопрос как раз о простом способе сделать это фаерволлом (если таковой
> действительно прост и универсален). _Можно ли таким образом закрыть
> всем, кроме локальных пользователей, доступ к каким бы то ни было
> сервисам, запущенным на данной машине?_

Нельзя. Firewall на пакетном уровне смотрит на адреса и порты, а
не анализирует пользователей на локальных или нет. Помимо просто
закрывания портов можно еще запретить пакеты с флагом SYN (точно
не помню, в IPCHAINS-HOWTO описан), то есть запретить
инициализировать соединения на сервер, используется, например, на
прокси на внешнем интерфейсе.

<skipped>

> Кажется, я неточно сформулировала вопрос.
> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
> а об изоляции всех локальных сервисов от "домогательств" извне,
> оставив их доступными исключительно для локальных пользователей.
> И в то же время, оставить локальным пользователям доступ во внешний 
> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
> могут пользоваться только лишь локальные пользователи, но доступ к
> другим серверам где-нибудь в интернете им (локальным пользователям)
> не закрыт. 
> 
> Можно ли вообще этого добиться каким-либо общим, универсальным способом,
> или необходима настройка по отдельности каждого запускаемого сервиса в 
> его собственных конфигах? 

Универсальным - нельзя, нужно настраивать каждый сервис.
Firewall'ом можно позакрывать все порты извне, кроме клиентских
и, например, DNS и SMTP. Кстати, уточните - нужно открыть доступ
только своим пользователям или только локальным адресам?

<skipped>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [mdk-re] help understand please (Firewall)

["Баталов Григорий"]

On Mon, 21 Jan 2002 11:53:12 +0300
Vyt <vyt@vzljot.ru> wrote:

> > Вопрос как раз о простом способе сделать это фаерволлом (если таковой
> > действительно прост и универсален). _Можно ли таким образом закрыть
> > всем, кроме локальных пользователей, доступ к каким бы то ни было
> > сервисам, запущенным на данной машине?_
> 
> Нельзя. Firewall на пакетном уровне смотрит на адреса и порты, а
> не анализирует пользователей на локальных или нет.

  Наверное, localhost имелся в виду. Тогда можно.

> Помимо просто
> закрывания портов можно еще запретить пакеты с флагом SYN (точно
> не помню, в IPCHAINS-HOWTO описан), то есть запретить
> инициализировать соединения на сервер, используется, например, на
> прокси на внешнем интерфейсе.

-- 
 Баталов Григорий.
---------------------------------------------------------------------------
 I am the "ILOVEGNU" signature virus. Just copy me to your signature.
 This email was infected under the terms of the GNU General Public License.

[mdk-re] Re: help understand please (Firewall)

[Mikhail Zabaluev]

Hello Olga,

On Mon, Jan 21, 2002 at 03:44:18PM +0700, Olga wrote:
>
> Кажется, я неточно сформулировала вопрос.
> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
> а об изоляции всех локальных сервисов от "домогательств" извне,
> оставив их доступными исключительно для локальных пользователей.
> И в то же время, оставить локальным пользователям доступ во внешний 
> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
> могут пользоваться только лишь локальные пользователи, но доступ к
> другим серверам где-нибудь в интернете им (локальным пользователям)
> не закрыт. 
> 
> Можно ли вообще этого добиться каким-либо общим, универсальным способом,
> или необходима настройка по отдельности каждого запускаемого сервиса в 
> его собственных конфигах? 

У меня работает следующий кусок в ipchains:

ipchains -N frominet
ipchains -A input -i eth0+ -j frominet
ipchains -A frominet -p udp -s 10.254.0.2/32 domain -j ACCEPT
ipchains -A frominet -p udp -s 217.10.32.0/24 domain -j ACCEPT
ipchains -A frominet -p udp -s 212.45.0.3/32 domain -j ACCEPT
ipchains -A frominet -p udp -s 195.2.64.0/24 -d 0.0.0.0/0 ntp -j ACCEPT
ipchains -A frominet -p tcp -y -j REJECT -l
ipchains -A frominet -p udp -j REJECT -l

Цепочка frominet обрабатывает все пакеты, пришедшие с eth0.
Правила на domain и ntp разрешают обмен по UDP для соответствующих
протоколов с нужных мне серверов. Предпоследнее правило сбивает все
попытки установить TCP-соединение извне и не затрагивает соединения,
установленные с моей машины.

C iptables похожая возня, но мне пока было лень их изучить.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
No problem is so formidable that you can't just walk away from it.
		-- C. Schulz

Re: [mdk-re] help understand please (Firewall)

[Shur]

Здравствуйте.

On Mon, 21 Jan 2002 15:44:18 +0700
Olga <laedel@pochtamt.ru> wrote:

<skip>

Посмотрите
http://linux.yaroslavl.ru/Docum/Sec/iptables_dual-up.html Там
простой вариант настройки файерволла (по-русски), который
обрубает доступ снаружи и оставляет открытым полный доступ вовне.
У меня это заработало прямо сразу (на дайлапе :). Вам потребуется
изменить настройки внешнего интерфейса и добавить внутренюю сеть.
Мне так кажется. Но сам я еще не пробовал. У меня внутрення сеть
- vmware. Пока не приперло.

-------
Удачи.
Александр.

Re: [mdk-re] help understand please (Firewall)

[Olga]

On Mon, 21 Jan 2002 11:53:12 +0300
Vyt <vyt@vzljot.ru> wrote:

<skipped>
> Универсальным - нельзя, нужно настраивать каждый сервис.
> Firewall'ом можно позакрывать все порты извне, кроме клиентских
> и, например, DNS и SMTP. Кстати, уточните - нужно открыть доступ
> только своим пользователям или только локальным адресам?
<skipped>

Нужно открыть доступ только с localhost.

Re: [mdk-re] help understand please (Firewall)

[Olga]

On Mon, 21 Jan 2002 12:11:23 +0300
"Баталов Григорий" <bga@kgok.murmansk.su> wrote:

> > > Вопрос как раз о простом способе сделать это фаерволлом (если таковой
> > > действительно прост и универсален). _Можно ли таким образом закрыть
> > > всем, кроме локальных пользователей, доступ к каким бы то ни было
> > > сервисам, запущенным на данной машине?_
> > 
> > Нельзя. Firewall на пакетном уровне смотрит на адреса и порты, а
> > не анализирует пользователей на локальных или нет.
> 
>   Наверное, localhost имелся в виду. Тогда можно.

Да. Именно это.
Чтобы localhost можно было пользоваться сервисами, запущенными на этой
же машине, а с какой-либо другой машины - нельзя.

 
> > Помимо просто
> > закрывания портов можно еще запретить пакеты с флагом SYN (точно
> > не помню, в IPCHAINS-HOWTO описан), то есть запретить
> > инициализировать соединения на сервер, используется, например, на
> > прокси на внешнем интерфейсе.

Re: [mdk-re] help understand please (Firewall)

[Vyt]

[-- Attachment #1: Type: text/plain, Size: 821 bytes --]

On Mon, 21 Jan 2002 16:38:06 +0700
Olga <laedel@pochtamt.ru> wrote:

> On Mon, 21 Jan 2002 11:53:12 +0300
> Vyt <vyt@vzljot.ru> wrote:
> 
> <skipped>
> > Универсальным - нельзя, нужно настраивать каждый сервис.
> > Firewall'ом можно позакрывать все порты извне, кроме клиентских
> > и, например, DNS и SMTP. Кстати, уточните - нужно открыть доступ
> > только своим пользователям или только локальным адресам?
> <skipped>
> 
> Нужно открыть доступ только с localhost.

Ну что-то вроде уже было:

ipchains -A input -p tcp -d <your_ip> <порт с разрешенными соединениями, например, 25 для smtp> -j ACCEPT
ipchains -A input -p tcp <флаг установки соединения> -j DENY

Ну и разные тонкости с udp, например, если будет DNS, открыть 53 для своих компов.

<skipped>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [mdk-re] help understand please (Firewall)

[cornet]

Olga wrote:
> 
> On Mon, 21 Jan 2002 12:11:23 +0300
> "Баталов Григорий" <bga@kgok.murmansk.su> wrote:
> 
> > > > Вопрос как раз о простом способе сделать это фаерволлом (если таковой
> > > > действительно прост и универсален). _Можно ли таким образом закрыть
> > > > всем, кроме локальных пользователей, доступ к каким бы то ни было
> > > > сервисам, запущенным на данной машине?_
> > >
> > > Нельзя. Firewall на пакетном уровне смотрит на адреса и порты, а
> > > не анализирует пользователей на локальных или нет.
> >
> >   Наверное, localhost имелся в виду. Тогда можно.
> 
> Да. Именно это.
> Чтобы localhost можно было пользоваться сервисами, запущенными на этой
> же машине, а с какой-либо другой машины - нельзя.

Все достаточно просто - соединение, инициированное изнутри
открывает так называемые "пользовательские" порты с 1025 по 65535
и на них принимает пакеты. Это значит что DENY достаточно
поставить на вход извне только по портам с 1 по 1024 и по тем
сервисам, которые открыты выше 1024 порта. Остальное ACCEPT.
Какие именно сервисы чего где открывают легко понять по их
документации, а так же просто запустив их всех и посмотрев вывод 
netstat -l
а потом по именам сервисов узнать конкретные порты в файле
/etc/services
Ну и заткнуть их.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] help understand please (Firewall)

[Vyt]

[-- Attachment #1: Type: text/plain, Size: 407 bytes --]

On Mon, 21 Jan 2002 14:16:10 +0300
cornet <cornet@altlinux.ru> wrote:

<skipped>

> Какие именно сервисы чего где открывают легко понять по их
> документации, а так же просто запустив их всех и посмотрев вывод 
> netstat -l
> а потом по именам сервисов узнать конкретные порты в файле
> /etc/services

или
# netstat -n -l -p --inet

<skipped>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [mdk-re] help understand please (Firewall)

[cornet]

Vyt wrote:
> 
> On Mon, 21 Jan 2002 14:16:10 +0300
> cornet <cornet@altlinux.ru> wrote:
> 
> <skipped>
> 
> > Какие именно сервисы чего где открывают легко понять по их
> > документации, а так же просто запустив их всех и посмотрев вывод
> > netstat -l
> > а потом по именам сервисов узнать конкретные порты в файле
> > /etc/services
> 
> или
> # netstat -n -l -p --inet

Да, конечно. Просто /etc/services позволяет огласить весь список
:-) К тому же не все начинающие знают о существовании такого
полезного файла :-) по тому и упомянул.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] Re: Postfix-Open-Relay-HOWTO ;)

[cornet]

Mikhail Zabaluev wrote:
skip.
> 
> ОК, делаем еще один подход к документации...
> Есть еще и smtpd_recipient_restrictions, которые как раз и управляют
> relayability. Именно там нужно прописать
> permit_mynetworks, permit_sasl_authenticated
> А smtpd_client_restrictions лучше оставить в покое.

УУаууу!! YESS!!
Спасибо, Михаил! Вы абсолютно правы.
Все же мой английский не так хорош как хотелось бы и я не совсем
верно понял документацию :-\

Прописал:

smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated, check_relay_domains

а smtpd_client_restrictions вовсе не использовал и оно заработало
правильно!

Теперь оно принимает почту к себе отовсюду, а отсылает вовне
только от авторизованных по SASL клиентов не зависимо от их IP
адреса. Что и требовалось :-))))))))

Михаил, с меня ПИВО!

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] help understand please (Firewall)

[AVL]

> AVL> ipchains -A input -s localhost -j Accept
> AVL> ipchains -A input  DENY
> 
> Кажется, я неточно сформулировала вопрос.
> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
> а об изоляции всех локальных сервисов от "домогательств" извне,
> оставив их доступными исключительно для локальных пользователей.
> И в то же время, оставить локальным пользователям доступ во внешний 
> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
> могут пользоваться только лишь локальные пользователи, но доступ к
> другим серверам где-нибудь в интернете им (локальным пользователям)
> не закрыт. 

нормальное желание.
собственно, вышеприведенные строчки с учетом поправок его и реализуют.
надо уточнять или поменять политику? пожалуйста.

ipchains -F input // очищаем цепочку правил для входящих пакетов
ipchains -P input  ACCEPT // разрешаем по умолчанию прием пакетиков
ipchains -A  -s ! localhost -d <your ip> port:25 -j DENY //всех кто лезет на smtp отбивать, если только не сам
ipchains -A  -s ! localhost -d <your ip> port:110 -j DENY //всех кто лезет на pop3 отбивать, если только не сам
....
и так для всех закрываемых сервисов.
также можно в настройках сервисов сделать привязку (binding) только к localhost

в идеале nmap <your IP> должен выдавать пустоту, раз сервисов наружу не предполагается иметь.
тогда вообще никакой хацкер не пролезет и даже логи не замусорятся. :)








> 
> Можно ли вообще этого добиться каким-либо общим, универсальным способом,
> или необходима настройка по отдельности каждого запускаемого сервиса в 
> его собственных конфигах? 
> 
> 
> 
> 
> 
> 
> 
> 
> Gosha> Это он шутит так. :-)))
> AVL> я уже не в том возрасте, когда можно безнаказанно шутить над девушками. :)
> Да в том Вы возрасте, в том - раз от темы фаерволлов и MTA быстро переходите к теме девушек :)
> 
> 
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
> 

Re: [mdk-re] help understand please (Firewall)

[Maksim Otstavnov]

Hello Olga,

Monday, January 21, 2002, 11:44:18 AM, you wrote:

O> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
O> а об изоляции всех локальных сервисов от "домогательств" извне,
O> оставив их доступными исключительно для локальных пользователей.
O> И в то же время, оставить локальным пользователям доступ во внешний 
O> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
O> могут пользоваться только лишь локальные пользователи, но доступ к
O> другим серверам где-нибудь в интернете им (локальным пользователям)
O> не закрыт. 

O> Можно ли вообще этого добиться каким-либо общим, универсальным способом,

Нет, нельзя, и прежде всего из-за существования и популярности
stateless-протоколов, таких, как http. Пока файрволл не стал очень
(слишком?) умным, для него (1) обращение клиента к http-серверу и (2)
ответ последнего -- два не связанных друг с другом события, и
(2) выглядит именно что "домогательством извне". Которое, тем не
менее, нужно удовлетворить.

-- 
-- Maksim

Re: [mdk-re] help understand pleas

[Gosha]

On Sun, 20 Jan 2002 16:48:57 +0300
AVL <info@atmsk.ru> wrote:

> > > > Это он шутит так. :-)))
> > > я уже не в том возрасте, когда можно безнаказанно шутить над
> > > девушками. :)
> > 
> > Хе-хе-хе. Интересно, в каком это возрасте уже нельзя
> > безнаказанно шутить над девушками? :-)))
> 
> в том, когда ты уже не уверен, что если эта девушка обидится и уйдет, на
> ее место тут же найдется другая. :)
 
А если вспомнить, что "Любви все возрасты покорны...."
:-))

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] help understand please (Firewall)

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 720 bytes --]

On Mon, Jan 21, 2002 at 07:41:28PM +0300, Maksim Otstavnov wrote:
> O> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
> O> а об изоляции всех локальных сервисов от "домогательств" извне,
> Нет, нельзя, и прежде всего из-за существования и популярности
> stateless-протоколов, таких, как http. Пока файрволл не стал очень
Да ладно, рубить входящие на 80 (к примеру) порт и всех делов.
Если никто до сервера с запросом _снаружи_ не достучится --
вопрос закрыт 8-)

Ведь серверы зачастую слушают привелегированные (<1024) порты,
исходящие же соединения устанавливаются из более высоколежащего
диапазона.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ http://visa.chem.univ.kiev.ua/~mike/

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [mdk-re] help understand pleas

[AVL]

> А если вспомнить, что "Любви все возрасты покорны...."
> :-))

мне это напомнило анекдот, где девушка еще не знает , а кавалер уже прочно
забыл... так что ваша реплика явно не для склеротиков :))
-- 
С уважением,Любимов А.В.

Re: [mdk-re] help understand pleas

[Gosha]

On Mon, 21 Jan 2002 22:04:14 +0300
AVL <info@atmsk.ru> wrote:

> > А если вспомнить, что "Любви все возрасты покорны...."
> > :-))
> 
> мне это напомнило анекдот, где девушка еще не знает , а кавалер уже прочно
> забыл... так что ваша реплика явно не для склеротиков :))

Да ладно! Я сам еще тот склеротик, однако девушек до сих пор не боюсь. :-)))

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] help understand pleas

[Antonio]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Sat, 19 Jan 2002, Olga wrote:

> Т.е. можно ли сделать с помощью этих файлов, чтобы лишь
> локальные пользователи данной рабочей станции могли пользоваться
> ее MTA, какими-либо другими работающими на ней серверами, но
> никто извне не мог бы воспользоваться ими в принципе?
> Достаточно ли для этого записать в /etc/hosts.allow
> ALL: 127.0.0.1

Думаю, что да, но с некоторыми оговорками: в /etc/hosts.deny
должно быть ALL:ALL (никому ничего нельзя). Это уже потом мы
будем приоткрывать только нужное в hosts.allow.

Если же вместо inetd используется xinetd (и соответствующие
сервера вызываются оттуда, то для них можно указывать only_from
127.0.0.1).

Конечно, наиболее непробиваемо будет настроить firewall
(ipchains либо iptables в зависимости от ядра), но в данном
вопросе уступаю слово более опытным.

- -- 
Best regards,
	Tony.			mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8T99x2gaLrWRbr5URAtVFAJ46ohYy+v3OIok4ywFACQC2hCWSbQCfTGUK
9pkbdE9R/Gbh6mED2GxiLuE=
=b7aT
-----END PGP SIGNATURE-----