[FUG-BR] qmail-ldap e badrcptto
Pessoal, será que não da pra aplicar os dois patch's no qmail (ldap e badrcptto)? Instalei o qmail-ldap portado pelo garga, mas ele não reconhece o badrcptto. Tentei aplicar o patch manualmente mas um atrapalha o outro, se aplico o patch do ldap da problema ao aplicar o badrcptto e vice-versa. Será que estou comendo bronha? Grande abraço a todos. Fernando. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] qmail-ldap e badrcptto
O fato é o seguinte, o servidor está funcionando, só que estou openrelay! O problema é o badrcptto que não está funcionando! minhas configurações estão assim: tcp: 127.0.0.1:allow,RELAYCLIENT= 192.168.1.234:allow, RELAYCLIENT= 192.168.:allow,RELAYCLIENT=,REQUIREAUTH= :allow para rede externa não tem o RELAYCLIENT=, era para o badrcptto funcionar. Relay test 10 RSET 250 flushed MAIL FROM: spamt...@[189.108.123.12] 250 ok RCPT TO: relaytest%antispam-ufrj.pads.ufrj.br 250 ok QUIT 221 qmail.bebedouro.sp.gov.br Goodbye. E é bem aqui que o badrcptto deveria entrar em ação, *%* Mas é como se eu não tivesse o badrcptto. o /var/qmail/control/badrcptto está assim: *%* *!* *...@*@* Ja estou ficando louco! rs Da uma luz ai vai... Desde ja te agradeço. Fernando Em 01/07/2009, às 17:13, Fernando Buzon Macedo escreveu: Pessoal, será que não da pra aplicar os dois patch's no qmail (ldap e badrcptto)? Instalei o qmail-ldap portado pelo garga, mas ele não reconhece o badrcptto. Tentei aplicar o patch manualmente mas um atrapalha o outro, se aplico o patch do ldap da problema ao aplicar o badrcptto e vice-versa. Será que estou comendo bronha? Grande abraço a todos. Fernando. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] qmail-ldap e badrcptto
Obrigado pela atenção. No meu firewall eu faço anti-spoof para o endereço de loopback da seguinte forma: ${fwcmd} add 2 allow all from any to any via lo0 ${fwcmd} add 3 deny all from 127.0.0.0/8 to any também faço anti-spoof para as minhas redes internas... Eu fiz uma regra de log no firewall pra ver quem estava chegando na porta 25. E quando faço o test de open relay (www.antispam-ufrj.pads.ufrj.br) chega com o ip deles mesmo, no caso esse abaixo: Jul 2 15:44:59 qmail kernel: ipfw: 1 Accept TCP 146.164.48.5:34719 192.168.1.233:25 in via em0 e ele permite o relay! No meu caso o FDP que estava usando meu servidor pra enviar spam sempre vinha com toyotalotterydeparm...@yahoo.com.hk eu coloquei ele no badmailfrom e com o script do Patrick (qmail- adm.sh) eu apaguei da fila esses emails. até ai tudo bem, só que o meu servidor continua openrelay! rs no meu servidor antigo que era com vpopmail, eu lembro perfeitamente que esse teste nr 10 quem o bloqueava era o badrcptto. que agora não bloqueia mais... E eu sempre recarregos os serviços quando modifico os arquivos de control. Mais uma vez obrigado pela atenção! Fernando. Em 02/07/2009, às 15:38, Rodrigo Graeff escreveu: Estar openrelay não tem absolutamente nada a ver com o fato do qregex não estar funcionando. Se tu estas liberando 127.0.0.1 para ter qualquer relay, é melhor bloquear endereços 127.0.0.0/8 na interface de rede externa, bem como 192.168.1.0/24.. Quanto ao qregex não funcionar, chegaste a testar outro arquivo ? badmailfrom ? badhelo ?? Sei que parece estúpido, porém é preciso um kill -HUP no qmail-smtpd para que ele releia os arquivos do /var/qmail/control novamente. Abraço On Thu, 2009-07-02 at 15:29 -0300, Fernando Buzon Macedo wrote: O fato é o seguinte, o servidor está funcionando, só que estou openrelay! O problema é o badrcptto que não está funcionando! minhas configurações estão assim: tcp: 127.0.0.1:allow,RELAYCLIENT= 192.168.1.234:allow, RELAYCLIENT= 192.168.:allow,RELAYCLIENT=,REQUIREAUTH= :allow para rede externa não tem o RELAYCLIENT=, era para o badrcptto funcionar. Relay test 10 RSET 250 flushed MAIL FROM: spamt...@[189.108.123.12] 250 ok RCPT TO: relaytest%antispam-ufrj.pads.ufrj.br 250 ok QUIT 221 qmail.bebedouro.sp.gov.br Goodbye. E é bem aqui que o badrcptto deveria entrar em ação, *%* Mas é como se eu não tivesse o badrcptto. o /var/qmail/control/badrcptto está assim: *%* *!* *...@*@* Ja estou ficando louco! rs Da uma luz ai vai... Desde ja te agradeço. Fernando Em 01/07/2009, às 17:13, Fernando Buzon Macedo escreveu: Pessoal, será que não da pra aplicar os dois patch's no qmail (ldap e badrcptto)? Instalei o qmail-ldap portado pelo garga, mas ele não reconhece o badrcptto. Tentei aplicar o patch manualmente mas um atrapalha o outro, se aplico o patch do ldap da problema ao aplicar o badrcptto e vice-versa. Será que estou comendo bronha? Grande abraço a todos. Fernando. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] qmail-ldap e badrcptto
Amigo, mais uma vez muito obrigado. Segue meu arquivo run do smtpd: #!/bin/sh exec 21 \ envdir ./env \ sh -c ' case $REMOTENAME in h) H=;; p) H=p;; *) H=H;; esac case $REMOTEINFO in r) R=;; [0-9]*) R=t$REMOTEINFO;; *) R=R;; esac exec \ envuidgid qmaild \ softlimit ${DATALIMIT+-d$DATALIMIT} \ /usr/local/bin/tcpserver \ -vDU$H$R \ ${LOCALNAME+-l$LOCALNAME} \ ${BACKLOG+-b$BACKLOG} \ ${CONCURRENCY+-c$CONCURRENCY} \ -xtcp.cdb \ -- ${IP-0} ${PORT-25} \ /var/qmail/bin/pbscheck \ /var/qmail/bin/qmail-smtpd /var/qmail/bin/auth_smtp /usr/bin/true ' Será que o problema então está ai nesse arquivo? e o SMTPAUTH=AUTHREQUIRED? hummm... vaou fazer uns testes aqui... Só pra comentar, eu atualizei meu ports e recompilei o qmail hoje mesmo. Pra conferir as versões dos patches eu chequei a pasta distfiles/qmail do ports: qmail-1.03-dk-0.54.patch qmail-1.03.tar.gz qmail-date-localtime.patch qmail-dk-0.54-auth.patch qmail-ldap-1.03-20060201.patch.gz qmail-ldap-1.03_qmail-smtpd_SENDERCHECK4.patch Não tem o patch do smtp auth ele ja é por padrão compilado no qmail- ldap, certo né? Mais uma vez obrigado. Em 02/07/2009, às 16:03, Rodrigo Graeff escreveu: Excelente solução pro firewall cara, porém mais um detalhe. Dependendo do patch de smtp_auth, há um problema na sintaxe para carregar o qmail-smtpd nos arquivos de run.. O normal é usar algo do tipo: exec /usr/local/bin/softlimit -m 12exec /usr/local/bin/softlimit -m 1200 \ /usr/local/bin/tcpserver -v -R -l $LOCAL -x /etc/tcp.smtp.cdb -c $MAXSMTPD \ -u $QMAILDUID -g $NOFILESGID 0 125 /var/qmail/bin/qmail-smtpd othos.com.br \ /usr/local/vpopmail/bin/vchkpw /usr/bin/true 21 Porém no meu caso, eu preciso fornecer o FQDN logo após o qmail-smtpd ficando mais ou menos assim: 125 /var/qmail/bin/qmail-smtpd dominio.com.br \ /usr/local/vpopmail/bin/vchkpw /usr/bin/true 21 Caso contrário, ele se torna openrelay... Ve se da a liga de ser algo assim por ai. [ ]s On Thu, 2009-07-02 at 15:51 -0300, Fernando Buzon Macedo wrote: Obrigado pela atenção. No meu firewall eu faço anti-spoof para o endereço de loopback da seguinte forma: ${fwcmd} add 2 allow all from any to any via lo0 ${fwcmd} add 3 deny all from 127.0.0.0/8 to any também faço anti-spoof para as minhas redes internas... Eu fiz uma regra de log no firewall pra ver quem estava chegando na porta 25. E quando faço o test de open relay (www.antispam-ufrj.pads.ufrj.br) chega com o ip deles mesmo, no caso esse abaixo: Jul 2 15:44:59 qmail kernel: ipfw: 1 Accept TCP 146.164.48.5:34719 192.168.1.233:25 in via em0 e ele permite o relay! No meu caso o FDP que estava usando meu servidor pra enviar spam sempre vinha com toyotalotterydeparm...@yahoo.com.hk eu coloquei ele no badmailfrom e com o script do Patrick (qmail- adm.sh) eu apaguei da fila esses emails. até ai tudo bem, só que o meu servidor continua openrelay! rs no meu servidor antigo que era com vpopmail, eu lembro perfeitamente que esse teste nr 10 quem o bloqueava era o badrcptto. que agora não bloqueia mais... E eu sempre recarregos os serviços quando modifico os arquivos de control. Mais uma vez obrigado pela atenção! Fernando. Em 02/07/2009, às 15:38, Rodrigo Graeff escreveu: Estar openrelay não tem absolutamente nada a ver com o fato do qregex não estar funcionando. Se tu estas liberando 127.0.0.1 para ter qualquer relay, é melhor bloquear endereços 127.0.0.0/8 na interface de rede externa, bem como 192.168.1.0/24.. Quanto ao qregex não funcionar, chegaste a testar outro arquivo ? badmailfrom ? badhelo ?? Sei que parece estúpido, porém é preciso um kill -HUP no qmail-smtpd para que ele releia os arquivos do /var/qmail/control novamente. Abraço On Thu, 2009-07-02 at 15:29 -0300, Fernando Buzon Macedo wrote: O fato é o seguinte, o servidor está funcionando, só que estou openrelay! O problema é o badrcptto que não está funcionando! minhas configurações estão assim: tcp: 127.0.0.1:allow,RELAYCLIENT= 192.168.1.234:allow, RELAYCLIENT= 192.168.:allow,RELAYCLIENT=,REQUIREAUTH= :allow para rede externa não tem o RELAYCLIENT=, era para o badrcptto funcionar. Relay test 10 RSET 250 flushed MAIL FROM: spamt...@[189.108.123.12] 250 ok RCPT TO: relaytest%antispam-ufrj.pads.ufrj.br 250 ok QUIT 221 qmail.bebedouro.sp.gov.br Goodbye. E é bem aqui que o badrcptto deveria entrar em ação, *%* Mas é como se eu não tivesse o badrcptto. o /var/qmail/control/badrcptto está assim: *%* *!* *...@*@* Ja estou ficando louco! rs Da uma luz ai vai... Desde ja te agradeço. Fernando Em 01/07/2009, às 17:13, Fernando Buzon Macedo escreveu: Pessoal, será que não da pra aplicar os dois patch's no qmail (ldap e badrcptto)? Instalei o qmail-ldap portado pelo garga, mas ele não reconhece o badrcptto. Tentei aplicar o patch manualmente mas um atrapalha o
Re: [FUG-BR] Auxilio com Bloqueio do Twitter
Você não usa squid? poderia fazer uma simples ACL: acl twitter dstdomain .twitter.com e depois nega-la http_access deny twitter Esse tipo de bloqueio não se faz via firewall, tem que ser algum proxy mesmo. abraço Em 03/07/2009, às 10:42, Lúcio Flávio da Cruz escreveu: Pessoal, alguem aqui da lista ja procedeu com os bloqueios do twitter? vi que trabalha via https e tem o dns hospedado no dyndns. valeu! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] qmail-ldap e badrcptto
Eu que falava do badrcptto, na verdade seria o qregex! ### qregex-20060423.patch Adiciona a possibilidade de usar expressões regulares nos arquivos badmailfrom, badmailfromnorelay, badrcptto, badrcpttonorelay e badhelo. ### Eu fiz um teste com o badmailfrom. Por exemplo: Se eu coloco: math...@bebedouro.sp.gov.br funciona e rejeita os emails do matheus mas se eu coloco: matheus* ai ja não funciona! Deveria funcionar certo? Então quando eu disse do badrcptto que não funciona vcs esqueçam isso, O caso é que o patch do qregex que não funciona. Só pra desencargo segue o meu showconfig: === The following configuration options are available for qmail- ldap-1.03.20060201_3: LOCALTIME_PATCH=on emit dates in the local timezone TLS=on SMTP TLS support ALTQUEUE=on run a QMAILQUEUE external queue BIGBROTHER=off use the control/bigbrother program BIGTODO=on use big_todo qmail patch BIND_8_COMPAT=off Needed if compile fails building dns.c CLEARTEXTPASSWD=off use cleartext passwords (Dangerous!) DASH_EXT=on dash_ext extended mail addresses add DATA_COMPRESS=on smtp on the fly DATA compression EXTERNAL_TODO=on external high-performance todo processing IGNOREVERISIGN=off disallow dns wildchar matches on gtlds QLDAP_CLUSTER=on cluster support QMQP_COMPRESS=on QMQP on the fly compression QUOTATRASH=on include the Trash in the quota SMTPEXECCHECK=on smtp DOS/Windows executable detection AUTOMAILDIRMAKE=on the auto-maildir-make feature AUTOHOMEDIRMAKE=on auto-homedir-make feature LDAP_DEBUG=on possibility to log and debug imap/pop SMTPEXTFORK=off Allow qmail-smtpd fork external progs XF_QUITASAP=off Close SMTP session ASAP (SMTPEXTFORK) SENDERCHECK4=on LOOSE checks exclusively for RELAY clients QEXTRA=off enable QUEUE_EXTRA copy feature === Use 'make config' to modify these settings Em 02/07/2009, às 16:03, Rodrigo Graeff escreveu: Excelente solução pro firewall cara, porém mais um detalhe. Dependendo do patch de smtp_auth, há um problema na sintaxe para carregar o qmail-smtpd nos arquivos de run.. O normal é usar algo do tipo: exec /usr/local/bin/softlimit -m 12exec /usr/local/bin/softlimit -m 1200 \ /usr/local/bin/tcpserver -v -R -l $LOCAL -x /etc/tcp.smtp.cdb -c $MAXSMTPD \ -u $QMAILDUID -g $NOFILESGID 0 125 /var/qmail/bin/qmail-smtpd othos.com.br \ /usr/local/vpopmail/bin/vchkpw /usr/bin/true 21 Porém no meu caso, eu preciso fornecer o FQDN logo após o qmail-smtpd ficando mais ou menos assim: 125 /var/qmail/bin/qmail-smtpd dominio.com.br \ /usr/local/vpopmail/bin/vchkpw /usr/bin/true 21 Caso contrário, ele se torna openrelay... Ve se da a liga de ser algo assim por ai. [ ]s On Thu, 2009-07-02 at 15:51 -0300, Fernando Buzon Macedo wrote: Obrigado pela atenção. No meu firewall eu faço anti-spoof para o endereço de loopback da seguinte forma: ${fwcmd} add 2 allow all from any to any via lo0 ${fwcmd} add 3 deny all from 127.0.0.0/8 to any também faço anti-spoof para as minhas redes internas... Eu fiz uma regra de log no firewall pra ver quem estava chegando na porta 25. E quando faço o test de open relay (www.antispam-ufrj.pads.ufrj.br) chega com o ip deles mesmo, no caso esse abaixo: Jul 2 15:44:59 qmail kernel: ipfw: 1 Accept TCP 146.164.48.5:34719 192.168.1.233:25 in via em0 e ele permite o relay! No meu caso o FDP que estava usando meu servidor pra enviar spam sempre vinha com toyotalotterydeparm...@yahoo.com.hk eu coloquei ele no badmailfrom e com o script do Patrick (qmail- adm.sh) eu apaguei da fila esses emails. até ai tudo bem, só que o meu servidor continua openrelay! rs no meu servidor antigo que era com vpopmail, eu lembro perfeitamente que esse teste nr 10 quem o bloqueava era o badrcptto. que agora não bloqueia mais... E eu sempre recarregos os serviços quando modifico os arquivos de control. Mais uma vez obrigado pela atenção! Fernando. Em 02/07/2009, às 15:38, Rodrigo Graeff escreveu: Estar openrelay não tem absolutamente nada a ver com o fato do qregex não estar funcionando. Se tu estas liberando 127.0.0.1 para ter qualquer relay, é melhor bloquear endereços 127.0.0.0/8 na interface de rede externa, bem como 192.168.1.0/24.. Quanto ao qregex não funcionar, chegaste a testar outro arquivo ? badmailfrom ? badhelo ?? Sei que parece estúpido, porém é preciso um kill -HUP no qmail-smtpd para que ele releia os arquivos do /var/qmail/control novamente. Abraço On Thu, 2009-07-02 at 15:29 -0300, Fernando Buzon Macedo wrote: O fato é o seguinte, o servidor está funcionando, só que estou openrelay! O problema é o badrcptto que não está funcionando! minhas configurações estão assim: tcp: 127.0.0.1:allow,RELAYCLIENT= 192.168.1.234:allow, RELAYCLIENT= 192.168.:allow,RELAYCLIENT=,REQUIREAUTH= :allow para rede externa não tem o
Re: [FUG-BR] Auxilio com Bloqueio do Twitter
Vai na fé, pode fazer como te falei que vai funcionar. Em 03/07/2009, às 11:27, Matheus Weber da Conceição escreveu: 2009/7/3 Lúcio Flávio da Cruz lucio_fla...@brturbo.com.br: isso sim, mas e o lance da porta segura nao devemos proceder pelo firewall? me lembro que o orkut tem uns detalhes no squid e outros no firewall 2009/7/3 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br Você não usa squid? poderia fazer uma simples ACL: acl twitter dstdomain .twitter.com e depois nega-la http_access deny twitter Esse tipo de bloqueio não se faz via firewall, tem que ser algum proxy mesmo. abraço Em 03/07/2009, às 10:42, Lúcio Flávio da Cruz escreveu: Pessoal, alguem aqui da lista ja procedeu com os bloqueios do twitter? vi que trabalha via https e tem o dns hospedado no dyndns. valeu! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Se tu usa proxy transparente ai complica porque o HTTPS não passa pelo Squid, então acho que tem que ser via firewall certo? -- Matheus Weber da Conceição - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Auxilio com Bloqueio do Twitter
Entendi, vc usa proxy transparente... Eu não uso assim. Se você configurar o proxy na estação eu posso te garantir que funciona http e https pelo proxy, sem precisar permitir nada no firewall para as estações. (tem que permitir o próprio proxy sair na 80 e 443 é óbvio, rs). Mas tenta redirecionar a 443 pro proxy também, como feito na 80, o squid também trabalha com https, só não sei se por ser transparente atrapalharia, como te disse não uso assim. abs Em 03/07/2009, às 14:47, Matheus Weber da Conceição escreveu: 2009/7/3 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br: Vai na fé, pode fazer como te falei que vai funcionar. Mas como isso funcionaria usando proxy transparente? (no caso, estamos acessando o twitter via https) -- Matheus Weber da Conceição - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Auxilio com Bloqueio do Twitter
Entendi. Desculpe ai pela ignorância, é que nunca usei de forma transparente. Eu sei que na 443 os dados são encriptados... Ja pensou em usar aqueles scripts de configuração automática de proxy? Em 03/07/2009, às 15:20, Matheus Weber da Conceição escreveu: 2009/7/3 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br: Entendi, vc usa proxy transparente... Eu não uso assim. Se você configurar o proxy na estação eu posso te garantir que funciona http e https pelo proxy, sem precisar permitir nada no firewall para as estações. (tem que permitir o próprio proxy sair na 80 e 443 é óbvio, rs). Mas tenta redirecionar a 443 pro proxy também, como feito na 80, o squid também trabalha com https, só não sei se por ser transparente atrapalharia, como te disse não uso assim. abs Sim claro, configurando no browser funciona sim (mas somente porque o navegador diz para o proxy a URL que está acessando, e não o proxy que olha o pacote). Redirecionar a 443 pro proxy não funciona. abraço; -- Matheus Weber da Conceição - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Auxilio com Bloqueio do Twitter
Não seria melhor então abandonar de usar proxy transparente? Você pode configurar o proxy no browser manualmente ou pode usar a opção de detectar configurações de proxy automaticamente ou usar netlogon Em 03/07/2009, às 16:08, irado furioso com tudo escreveu: Em Fri, 3 Jul 2009 14:47:00 -0300 Matheus Weber da Conceição matheusw...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Mas como isso funcionaria usando proxy transparente? (no caso, estamos acessando o twitter via https) porta 443 NÃO funciona com squid transparente -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free mulheres são como piscinas: o custo de manutenção é alto demais para o tempo que ficamos dentro delas [anonimo] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] qmail-ldap e badrcptto
Ola amigo, obrigado pela resposta. Eu escrevi daquela forma seguindo o padrão do arquivo badrcptto que fica assim: *%* *!* *...@*@* Ta foda... Obrigado. Em 05/07/2009, às 02:28, Paulo Pires escreveu: Não uso qmail, mas será que essas expressões regulares não ancoram, automaticamente, o padrão de busca ao início (^) e ao fim ($) da string? Porque, se matheus* se transformar implicitamente em ^matheus*$, esse padrão não vai realmente se aplicar a math...@ Se você quisesse algo assim, teria que usar ou matheus.* ou mat...@.*. 2009/7/3 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br Eu que falava do badrcptto, na verdade seria o qregex! ### qregex-20060423.patch Adiciona a possibilidade de usar expressões regulares nos arquivos badmailfrom, badmailfromnorelay, badrcptto, badrcpttonorelay e badhelo. ### Eu fiz um teste com o badmailfrom. Por exemplo: Se eu coloco: math...@bebedouro.sp.gov.br funciona e rejeita os emails do matheus mas se eu coloco: matheus* ai ja não funciona! Deveria funcionar certo? Então quando eu disse do badrcptto que não funciona vcs esqueçam isso, O caso é que o patch do qregex que não funciona. Só pra desencargo segue o meu showconfig: === The following configuration options are available for qmail- ldap-1.03.20060201_3: LOCALTIME_PATCH=on emit dates in the local timezone TLS=on SMTP TLS support ALTQUEUE=on run a QMAILQUEUE external queue BIGBROTHER=off use the control/bigbrother program BIGTODO=on use big_todo qmail patch BIND_8_COMPAT=off Needed if compile fails building dns.c CLEARTEXTPASSWD=off use cleartext passwords (Dangerous!) DASH_EXT=on dash_ext extended mail addresses add DATA_COMPRESS=on smtp on the fly DATA compression EXTERNAL_TODO=on external high-performance todo processing IGNOREVERISIGN=off disallow dns wildchar matches on gtlds QLDAP_CLUSTER=on cluster support QMQP_COMPRESS=on QMQP on the fly compression QUOTATRASH=on include the Trash in the quota SMTPEXECCHECK=on smtp DOS/Windows executable detection AUTOMAILDIRMAKE=on the auto-maildir-make feature AUTOHOMEDIRMAKE=on auto-homedir-make feature LDAP_DEBUG=on possibility to log and debug imap/pop SMTPEXTFORK=off Allow qmail-smtpd fork external progs XF_QUITASAP=off Close SMTP session ASAP (SMTPEXTFORK) SENDERCHECK4=on LOOSE checks exclusively for RELAY clients QEXTRA=off enable QUEUE_EXTRA copy feature === Use 'make config' to modify these settings Em 02/07/2009, às 16:03, Rodrigo Graeff escreveu: Excelente solução pro firewall cara, porém mais um detalhe. Dependendo do patch de smtp_auth, há um problema na sintaxe para carregar o qmail-smtpd nos arquivos de run.. O normal é usar algo do tipo: exec /usr/local/bin/softlimit -m 12exec /usr/local/bin/softlimit -m 1200 \ /usr/local/bin/tcpserver -v -R -l $LOCAL -x /etc/tcp.smtp.cdb -c $MAXSMTPD \ -u $QMAILDUID -g $NOFILESGID 0 125 /var/qmail/bin/qmail-smtpd othos.com.br \ /usr/local/vpopmail/bin/vchkpw /usr/bin/true 21 Porém no meu caso, eu preciso fornecer o FQDN logo após o qmail- smtpd ficando mais ou menos assim: 125 /var/qmail/bin/qmail-smtpd dominio.com.br \ /usr/local/vpopmail/bin/vchkpw /usr/bin/true 21 Caso contrário, ele se torna openrelay... Ve se da a liga de ser algo assim por ai. [ ]s On Thu, 2009-07-02 at 15:51 -0300, Fernando Buzon Macedo wrote: Obrigado pela atenção. No meu firewall eu faço anti-spoof para o endereço de loopback da seguinte forma: ${fwcmd} add 2 allow all from any to any via lo0 ${fwcmd} add 3 deny all from 127.0.0.0/8 to any também faço anti-spoof para as minhas redes internas... Eu fiz uma regra de log no firewall pra ver quem estava chegando na porta 25. E quando faço o test de open relay (www.antispam-ufrj.pads.ufrj.br) chega com o ip deles mesmo, no caso esse abaixo: Jul 2 15:44:59 qmail kernel: ipfw: 1 Accept TCP 146.164.48.5:34719 192.168.1.233:25 in via em0 e ele permite o relay! No meu caso o FDP que estava usando meu servidor pra enviar spam sempre vinha com toyotalotterydeparm...@yahoo.com.hk eu coloquei ele no badmailfrom e com o script do Patrick (qmail- adm.sh) eu apaguei da fila esses emails. até ai tudo bem, só que o meu servidor continua openrelay! rs no meu servidor antigo que era com vpopmail, eu lembro perfeitamente que esse teste nr 10 quem o bloqueava era o badrcptto. que agora não bloqueia mais... E eu sempre recarregos os serviços quando modifico os arquivos de control. Mais uma vez obrigado pela atenção! Fernando. Em 02/07/2009, às 15:38, Rodrigo Graeff escreveu: Estar openrelay não tem absolutamente nada a ver com o fato do qregex não estar funcionando. Se tu estas liberando 127.0.0.1 para ter qualquer relay, é melhor bloquear endereços 127.0.0.0/8 na interface de rede externa, bem como 192.168.1.0/24
Re: [FUG-BR] Rotacionar logs com o newsyslog
Não sei se te ajuda, mas eu uso o logrotate. É muito simples: Tem um artigo na própria FUG muito bom: http://www.fug.com.br/content/view/556/60/ Espero que ajude. Fernando. Em 06/07/2009, às 18:48, Juliana escreveu: Oi, Lista! Boa Tarde!! Preciso rotacionar os logs, utilizando o newsyslog e estou com dúvidas a respeito do seu funcionamento. Procurei alguma coisa, mas não encontrei ainda a solução e gostaria que alguém de vocês me auxiliassem, caso seja possível. Executei estes passos: - Acertei o arquivo newsyslog.conf em /etc/newsyslog.conf - Verifiquei o arquivo syslog em /var/run/syslogd.pid - O syslogd está rodando - Fiz o seguinte comando: newsyslog -f /etc/newsyslog.conf Não sei se errei em algo, ou se está faltando algum comando, pois o rotacionamento não está sendo feito. Alguém já passou por isso? Obrigada Juliana Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Postfix ou Qmail?
Você não é fraco não heim! hehehe 2 jails, um com cada MTA. Isso deve te dar mais trabalho, se bem que essa de sair com a loira e a morena ao mesmo tempo também daria mais trabalho e seria muito bom! rs Só to brincando... Na verdade acho que você deveria optar por um deles: Anti-spam e anti-virus você pode implementar no qmail também, não precisa do postfix pra isso não, também não é tão complicado assim. Ja leu esse artigo: http://www.fug.com.br/content/view/147/77/ Falando em anti-spam, pretendo experimentar o dspam, la do ion. Um anti-spam inteligente (deve ser semelhante ao learn do spamassassin) com configurações Independentes por usuario. Boa sorte na sua escolha. Em 06/07/2009, às 23:09, Luiz Gustavo S. Costa escreveu: Cara, isso é o mesmo que perguntar: Você gosta de loiras ou morenas ? Então vai de opinião pessoal: A minha fica confusa até na cabeça, por exemplo: Eu acho o postfix bem mais fácil que Qmail, porém eu gosto mais da dupla Qmail+vpopmail para gerenciamento de contas... Então, costumo montar um servidor FreeBSD com Jails, 1 Jail eu uso o postfix como barreira antispam/antivirus (usando o MaiaMailGuard) entregando as mensagens para a outra Jail rodando Qmail + Vpopmail Será que isso é o mesmo que sair com uma loira e uma morena ao mesmo tempo ??!?!?! Gostei :) 2009/7/6 Guilherme Alves galve...@yahoo.com.br: Galera! Gostaria de perguntar para os mais experientes da lista sobre a melhor opção para servidor de e-mail. Para iniciantes em FreeBSD, e principalmente em servidor de e- mails, qual o software pra e-mails mais indicado? Postfix ou Qmail? Qual desses dois é mais didático? Qual desses seria o mais aconselhável para iniciantes? (Mas desde que supra a necessidade e funcione com total segurança para funcionar numa empresa). Valeu!! Guilherme. Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: gustavo@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] qmail-ldap e badrcptto
Pessoal, obrigado a todos! Eu finalmente estou finalizando esse tópico, o bom e velho Patrick me explicou. É o seguinte, o servidor não está openrelay fiquei cabrero com esse teste: Relay test 10 RSET 250 flushed MAIL FROM: spamt...@[189.108.123.12] 250 ok RCPT TO: relaytest%antispam-ufrj.pads.ufrj.br 250 ok Como eu sempre usei o qmail com os patch's tradicionais, o control badrcptto ja bloqueava essa tentativa logo de cara, mas no qmail-ldap de fato não tem suporte a esse control (badrcptto). Só que isso não significa que ele, se esse teste fosse real, faria o relay para o dominio antispam-ufrj.pads.ufrj.br, ele iria tentar fazer uma entrega local para o recipiente relaytest %antispam-ufrj.pads.ufrj.br, o recipiente não existe e ele iria apenas retornar uma msg de failure. como no teste que o patrick fez: eksffa%freebsdbrasil.com...@qmail.bebedouro.sp.gov.br: Sorry. Although I'm listed as a best-preference MX or A for that host, it isn't in my control/locals file, so I don't treat it as local. (#5.4.6) A desvantagem de não ter o badrcptto é que por ele aceitar a mensagem e não encontrar o recipiente local ele vai enviar uma mensagem de volta pro remetente, que provavelmente não vai existir e a mensagem vai ficar na fila, o problema é só esse. O importante é que ele NÃO faz o relay! rs Então tudo se resume nisso. Mesmo assim o Patrick me recomendou o qmail-ldap e disse que pretende parar de usar o spamcontrol/vpopmail. De qualquer forma obrigado a todos! Fernando. Em 06/07/2009, às 12:25, Rodrigo Graeff escreveu: On Fri, 2009-07-03 at 12:40 -0300, Fernando Buzon Macedo wrote: Eu que falava do badrcptto, na verdade seria o qregex! ### qregex-20060423.patch Adiciona a possibilidade de usar expressões regulares nos arquivos badmailfrom, badmailfromnorelay, badrcptto, badrcpttonorelay e badhelo. ### Eu fiz um teste com o badmailfrom. Por exemplo: Se eu coloco: math...@bebedouro.sp.gov.br funciona e rejeita os emails do matheus mas se eu coloco: matheus* ai ja não funciona! Deveria funcionar certo? Então quando eu disse do badrcptto que não funciona vcs esqueçam isso, O caso é que o patch do qregex que não funciona. Só pra desencargo segue o meu showconfig: === The following configuration options are available for qmail- ldap-1.03.20060201_3: LOCALTIME_PATCH=on emit dates in the local timezone TLS=on SMTP TLS support ALTQUEUE=on run a QMAILQUEUE external queue BIGBROTHER=off use the control/bigbrother program BIGTODO=on use big_todo qmail patch BIND_8_COMPAT=off Needed if compile fails building dns.c CLEARTEXTPASSWD=off use cleartext passwords (Dangerous!) DASH_EXT=on dash_ext extended mail addresses add DATA_COMPRESS=on smtp on the fly DATA compression EXTERNAL_TODO=on external high-performance todo processing IGNOREVERISIGN=off disallow dns wildchar matches on gtlds QLDAP_CLUSTER=on cluster support QMQP_COMPRESS=on QMQP on the fly compression QUOTATRASH=on include the Trash in the quota SMTPEXECCHECK=on smtp DOS/Windows executable detection AUTOMAILDIRMAKE=on the auto-maildir-make feature AUTOHOMEDIRMAKE=on auto-homedir-make feature LDAP_DEBUG=on possibility to log and debug imap/pop SMTPEXTFORK=off Allow qmail-smtpd fork external progs XF_QUITASAP=off Close SMTP session ASAP (SMTPEXTFORK) SENDERCHECK4=on LOOSE checks exclusively for RELAY clients QEXTRA=off enable QUEUE_EXTRA copy feature === Use 'make config' to modify these settings Em 02/07/2009, às 16:03, Rodrigo Graeff escreveu: Excelente solução pro firewall cara, porém mais um detalhe. Dependendo do patch de smtp_auth, há um problema na sintaxe para carregar o qmail-smtpd nos arquivos de run.. O normal é usar algo do tipo: exec /usr/local/bin/softlimit -m 12exec /usr/local/bin/softlimit -m 1200 \ /usr/local/bin/tcpserver -v -R -l $LOCAL -x /etc/tcp.smtp.cdb -c $MAXSMTPD \ -u $QMAILDUID -g $NOFILESGID 0 125 /var/qmail/bin/qmail-smtpd othos.com.br \ /usr/local/vpopmail/bin/vchkpw /usr/bin/true 21 Porém no meu caso, eu preciso fornecer o FQDN logo após o qmail- smtpd ficando mais ou menos assim: 125 /var/qmail/bin/qmail-smtpd dominio.com.br \ /usr/local/vpopmail/bin/vchkpw /usr/bin/true 21 Caso contrário, ele se torna openrelay... Ve se da a liga de ser algo assim por ai. [ ]s On Thu, 2009-07-02 at 15:51 -0300, Fernando Buzon Macedo wrote: Obrigado pela atenção. No meu firewall eu faço anti-spoof para o endereço de loopback da seguinte forma: ${fwcmd} add 2 allow all from any to any via lo0 ${fwcmd} add 3 deny all from 127.0.0.0/8 to any também faço anti-spoof para as minhas redes internas... Eu fiz uma regra de log no firewall pra ver quem estava chegando na porta 25. E quando faço o test de open relay (www.antispam-ufrj.pads.ufrj.br) chega com o
[FUG-BR] RES: Packet filter.
Ia responder, quando vi já tinha 3 respostas. rs Eita lista de distribuição arretada essa! Parabéns a todos. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Giovani Poletto Enviada em: quarta-feira, 11 de agosto de 2010 11:08 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Packet filter. Bom dia, vc pode redirecionar o IP válido para o IP da rede interna com uma regra do tipo rdr. ex.: rdr pass on $ext_if proto tcp from IPs ou any to IP Valido port portas - IP Interno espero ter ajudado! []s 2010/8/11 cd...@hotmail.com Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda? Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem uma máquina na minha rede que roda um aplicativo de uma terceirizada e precisa de acesso (Web) remoto. Como eu deveria proceder pra que o pessoal via Web acessasse esse computador através do meu firewall? Desde já agradeço, Akkamai - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosamente, Giovani V. Poletto - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Script perl consome muito CPU
Ola pessoal, não sei se alguém já utilizou isso, mas eu vi no contrib do dansguardian um script Perl que funciona com FIFO, a cada modificação no arquivo ele faz um insert no banco, o script é esse ai em baixo. Tenho uma aplicação em php pra gerenciar o dansguardian e esse script foi fundamental na parte de debugar os acessos/permissões. Está rodando, o servidor não está lento, mas... Eu monitoro com o cacti, no CPU-usage, bate 150, processamento como user agora estou executando ele com o comando nice, ele baixou o processamento do user mas agora apareceu o nice, mas o total não abaixa. Pelo que li o nice é pra setar prioridades e não pra limitar o processamento, sendo assim ele realmente não vai baixar o consumo. Será que teria algo a fazer? Pra limitar esse consumo? Ou eu que não devo me preocupar com isso já que agora com o Nice ele tem prioridade baixa sobre os demais processos? Apesar que tem acesso pra caramba, pra vcs terem uma idéia, eu rotaciono o log diariamente e o arquivo diário, sem compactar dá em média 90MB. Obrigado a todos. Fernando - O Punk nunca morre! sqllogfifo.pl=== = #!/usr/local/bin/perl -w use IO::File; use DBI; use strict; my $server=192.168.x.x; my $port=3306; my $user=filter; my $pass=x; my $db=filter; my $table=log; my $dbh=DBI-connect(DBI:mysql:database=$db;host=$server;port=$port,$user,$pa ss) or die Can't connect to db: , DBI-errstr; my $sth=$dbh-prepare(INSERT INTO $table(datetime,ident,ip,url,what,how,size,why,type,filter)VALUES(?,?,?,?,?, ?,?,?,?,?)); open(FIFO, /var/log/dansguardian/access.log) or die Can't open log FIFO: $!\n; LOG: while (1) { my $message = FIFO; next LOG unless defined $message; chomp $message; chop $message; $message = substr $message,1; my($dt,$id,$ip,$url,$what,$how,$size,$a,$why,$c,$d,$type,$f,$filter)=split /,/,$message; $sth-execute($dt,$id,$ip,$url,$what,$how,$size,$why,$type,$filter); } fim= = - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Script perl consome muito CPU
Obrigado. Eu acho que entendi sua idéia, vou ver em Perl e vou fazer, mas seria tipo: next LOG unless defined $message; if (!$message) sleep 1 else { //Resto do código } Seria isso né? Valeu, se conseguir algo posto aqui. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Rafael Henrique Faria Enviada em: terça-feira, 17 de agosto de 2010 10:27 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Script perl consome muito CPU 2010/8/17 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br LOG: while (1) { Bom dia Fernando. O problema, é esse while (1) O código do script é realmente compacto, ele não realiza processamento. Então, ele não deveria, e não poderia consumir CPU. Porém, como ele está em um loop infinito, ele acaba consumindo CPU. O que você pode fazer, é melhorar esse script, com outras formas de obter os dados. Eu não conheço PERL, por isso não posso ajudar muito, mas posso dar uma sugestão: next LOG unless defined $message; Nessa parte do código, em vez de já pular para o loop novamente quando não existir nenhum dado a ser processado, poderia ser dada uma pausa... de 1 segundo por exemplo. Iria diminuir drasticamente o processamento. -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: Script perl consome muito CPU
Eu fiz assim: -- next LOG unless defined $message; if (!$message) { sleep(1); } else { chomp $message; chop $message; $message = substr $message,1; my($dt,$id,$ip,$url,$what,$how,$size,$a,$why,$c,$d,$type,$f,$filter)=split /,/,$message; $sth-execute($dt,$id,$ip,$url,$what,$how,$size,$why,$type,$filter); } --- O script continua funcionando, só que não mudou nada no processamento não. Eu imaginava que ele não ficaria em um loop infinito, mas que ele só faria o insert quando houvesse um file input, esse que seria o chic da coisa, se for pra ficar em loop infinito não tem graça, ai eu faço em shell! rs Vou dar uma estudada melhor nesse script, de qualquer forma muito obrigado pela dica e se vc tiver mais alguma idéia e quiser mandar eu te agradeço. Valeu. Fernando -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Fernando Buzon Macedo Enviada em: terça-feira, 17 de agosto de 2010 10:45 Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' Assunto: [FUG-BR] RES: Script perl consome muito CPU Obrigado. Eu acho que entendi sua idéia, vou ver em Perl e vou fazer, mas seria tipo: next LOG unless defined $message; if (!$message) sleep 1 else { //Resto do código } Seria isso né? Valeu, se conseguir algo posto aqui. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Rafael Henrique Faria Enviada em: terça-feira, 17 de agosto de 2010 10:27 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Script perl consome muito CPU 2010/8/17 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br LOG: while (1) { Bom dia Fernando. O problema, é esse while (1) O código do script é realmente compacto, ele não realiza processamento. Então, ele não deveria, e não poderia consumir CPU. Porém, como ele está em um loop infinito, ele acaba consumindo CPU. O que você pode fazer, é melhorar esse script, com outras formas de obter os dados. Eu não conheço PERL, por isso não posso ajudar muito, mas posso dar uma sugestão: next LOG unless defined $message; Nessa parte do código, em vez de já pular para o loop novamente quando não existir nenhum dado a ser processado, poderia ser dada uma pausa... de 1 segundo por exemplo. Iria diminuir drasticamente o processamento. -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: RES: Script perl consome muito CPU
Só mais uma informação. Olhando no top, ele começa usando pouco (5%), devagar que ele vai subindo, até chegar no 100%, ele pega um dos CPU's e chega até o 100%. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Fernando Buzon Macedo Enviada em: terça-feira, 17 de agosto de 2010 11:03 Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' Assunto: [FUG-BR] RES: RES: Script perl consome muito CPU Eu fiz assim: -- next LOG unless defined $message; if (!$message) { sleep(1); } else { chomp $message; chop $message; $message = substr $message,1; my($dt,$id,$ip,$url,$what,$how,$size,$a,$why,$c,$d,$type,$f,$filter)=split /,/,$message; $sth-execute($dt,$id,$ip,$url,$what,$how,$size,$why,$type,$filter); } --- O script continua funcionando, só que não mudou nada no processamento não. Eu imaginava que ele não ficaria em um loop infinito, mas que ele só faria o insert quando houvesse um file input, esse que seria o chic da coisa, se for pra ficar em loop infinito não tem graça, ai eu faço em shell! rs Vou dar uma estudada melhor nesse script, de qualquer forma muito obrigado pela dica e se vc tiver mais alguma idéia e quiser mandar eu te agradeço. Valeu. Fernando -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Fernando Buzon Macedo Enviada em: terça-feira, 17 de agosto de 2010 10:45 Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' Assunto: [FUG-BR] RES: Script perl consome muito CPU Obrigado. Eu acho que entendi sua idéia, vou ver em Perl e vou fazer, mas seria tipo: next LOG unless defined $message; if (!$message) sleep 1 else { //Resto do código } Seria isso né? Valeu, se conseguir algo posto aqui. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Rafael Henrique Faria Enviada em: terça-feira, 17 de agosto de 2010 10:27 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Script perl consome muito CPU 2010/8/17 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br LOG: while (1) { Bom dia Fernando. O problema, é esse while (1) O código do script é realmente compacto, ele não realiza processamento. Então, ele não deveria, e não poderia consumir CPU. Porém, como ele está em um loop infinito, ele acaba consumindo CPU. O que você pode fazer, é melhorar esse script, com outras formas de obter os dados. Eu não conheço PERL, por isso não posso ajudar muito, mas posso dar uma sugestão: next LOG unless defined $message; Nessa parte do código, em vez de já pular para o loop novamente quando não existir nenhum dado a ser processado, poderia ser dada uma pausa... de 1 segundo por exemplo. Iria diminuir drasticamente o processamento. -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: Script perl consome muito CPU
Como disse, peguei esse script já pronto no site do dansguardian. De programação eu conheço muito pouco. Zhu Sha Zang, sem querer ser folgado, mas você não teria uma opção simples pra ficar no lugar de while (1) aí? De qualquer forma obrigado, vou pesquisar sobre pooling Perl. Valeu. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Zhu Sha Zang Enviada em: terça-feira, 17 de agosto de 2010 11:28 Para: freebsd@fug.com.br Assunto: Re: [FUG-BR] RES: Script perl consome muito CPU Em 17-08-2010 11:21, Rafael Henrique Faria escreveu: 2010/8/17 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br Obrigado. Eu acho que entendi sua idéia, vou ver em Perl e vou fazer, mas seria tipo: next LOG unless defined $message; if (!$message) sleep 1 else { //Resto do código } Você colocou o sleep depois do retorno do loop. O comando que faz o look é o next LOG. Eu tentaria algo do tipo: LOG: sleep 1; while (1) { my $message = FIFO; next LOG unless defined $message; Seria isso né? Valeu, se conseguir algo posto aqui. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Rafael Henrique Faria Enviada em: terça-feira, 17 de agosto de 2010 10:27 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Script perl consome muito CPU 2010/8/17 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br LOG: while (1) { Bom dia Fernando. O problema, é esse while (1) O código do script é realmente compacto, ele não realiza processamento. Então, ele não deveria, e não poderia consumir CPU. Porém, como ele está em um loop infinito, ele acaba consumindo CPU. O que você pode fazer, é melhorar esse script, com outras formas de obter os dados. Eu não conheço PERL, por isso não posso ajudar muito, mas posso dar uma sugestão: next LOG unless defined $message; Nessa parte do código, em vez de já pular para o loop novamente quando não existir nenhum dado a ser processado, poderia ser dada uma pausa... de 1 segundo por exemplo. Iria diminuir drasticamente o processamento. -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Sugiro pesquisar por técnicas de pooling em perl. Esse while (1) é absurdo. Att - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: RES: Script perl consome muito CPU
Leonardo, muito obrigado pelas informações. Eu pensei que essa parada de FIFO do Perl fizesse o papel desse evento onfilechange, afinal file input file output, mas então não é o caso então... rs Já tinha pensado em fazer eu mesmo, minha dúvida tinha sido sobre essa do fseek na próxima leitura, como você sugeriu registrar o numero de bytes da leitura anterior, está certo mesmo... Foi apenas uma ilusão pelo nome FIFO que me confundiu. Pensei ter descoberto o onfilechange, por isso nem pensei em outra opção. Vou rever meus conceitos. Muito obrigado a todos da lista, aqui você encontra mesmo! Hehehe abs -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Leonardo Augusto Enviada em: terça-feira, 17 de agosto de 2010 13:31 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Script perl consome muito CPU Mas qual o proposito desse script ? Pegar o que vai sendo gravado no var/log/dansguardian/access.log e inserir no mysql ?? Se for isso, o problema é que vc fica num loop e lendo o arquivo Pq nao faz o seguinte, usa o crontab, pra executar esse script a cada minuto, aí o script le o log, registra o numero de bytes lidos para dar um fseek na proxima leitura... e grava no mysql.. Vai entrar, ler, gravar e sair... Qualquer coisa que vc faca que fique num loop lendo um arquivo do filesystem vai ficar com alto nivel de consumo de cpu, pois nao tem um evento do SO onfilechange eheh pra chamar teu perl. Se voce quer um processo que faca isso acho que tens que usar threads ou de C ou java para que nao consuma tanta cpu, um processo com while + sleep consome. Acho que é isso 2010/8/17 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br: Como disse, peguei esse script já pronto no site do dansguardian. De programação eu conheço muito pouco. Zhu Sha Zang, sem querer ser folgado, mas você não teria uma opção simples pra ficar no lugar de while (1) aí? De qualquer forma obrigado, vou pesquisar sobre pooling Perl. Valeu. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Zhu Sha Zang Enviada em: terça-feira, 17 de agosto de 2010 11:28 Para: freebsd@fug.com.br Assunto: Re: [FUG-BR] RES: Script perl consome muito CPU Em 17-08-2010 11:21, Rafael Henrique Faria escreveu: 2010/8/17 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br Obrigado. Eu acho que entendi sua idéia, vou ver em Perl e vou fazer, mas seria tipo: next LOG unless defined $message; if (!$message) sleep 1 else { //Resto do código } Você colocou o sleep depois do retorno do loop. O comando que faz o look é o next LOG. Eu tentaria algo do tipo: LOG: sleep 1; while (1) { my $message = FIFO; next LOG unless defined $message; Seria isso né? Valeu, se conseguir algo posto aqui. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Rafael Henrique Faria Enviada em: terça-feira, 17 de agosto de 2010 10:27 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Script perl consome muito CPU 2010/8/17 Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br LOG: while (1) { Bom dia Fernando. O problema, é esse while (1) O código do script é realmente compacto, ele não realiza processamento. Então, ele não deveria, e não poderia consumir CPU. Porém, como ele está em um loop infinito, ele acaba consumindo CPU. O que você pode fazer, é melhorar esse script, com outras formas de obter os dados. Eu não conheço PERL, por isso não posso ajudar muito, mas posso dar uma sugestão: next LOG unless defined $message; Nessa parte do código, em vez de já pular para o loop novamente quando não existir nenhum dado a ser processado, poderia ser dada uma pausa... de 1 segundo por exemplo. Iria diminuir drasticamente o processamento. -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Sugiro pesquisar por técnicas de pooling em perl. Esse while (1) é absurdo. Att - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: ipfw3
Tcpdump né? -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Eduardo Schoedler Enviada em: quarta-feira, 25 de agosto de 2010 10:41 Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' Assunto: [FUG-BR] RES: ipfw3 Desculpe, fiz confusão do pfsync com o pflog (processo, não a interface). Sds, -- Eduardo Schoedler Eduardo Schoedler escreveu: Mas como irá funcionar a coleta das informações dessa interface? No PF quem faz isso é o pfsync, certo ? Será que tenho como usar o mesmo mecanismo ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] qmail fazendo relay
Ola pessoal, uso qmail-ldap e tenho visto aqui nos meus logs que estão conseguindo me usar! rs Me ajudem... Olha o meu tcp: 127.0.0.1:allow,RELAYCLIENT= 192.168.1.234:allow,RELAYCLIENT= 192.168.:allow,RELAYCLIENT=,AUTHREQUIRED= :allow,SMTPAUTH= Eu penso que isso seria: 127.0.0.1:allow,RELAYCLIENT= 192.168.1.234:allow,RELAYCLIENT= Localhost e esse servidor 192.168.1.234 podem fazer relay sem autenticar. 192.168.:allow,RELAYCLIENT=,AUTHREQUIRED= todas as minhas subredes podem fazer relay, porém autenticação é sempre necessária, tanto para relay como para local :allow,SMTPAUTH= permite o smtp para todos, porem para outros domínios (relay) tem que ser autenticado Vocês me recomendam alguma configuração melhor para o tcp? Ou algum control/env pra eu confirmar? Fiz um teste com telnet, vindo de fora tentando fazer relay e não consegui, vejam: mail from: cara...@gmail.com 250 ok rcpt to: fernandobu...@gmail.com 553 sorry, relaying denied from your location [189.108.153.26] (#5.7.1) Obrigado a todos. Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] qmail fazendo relay
Valeu pela força amigo. Ja fiz testes pelo site: http://www.antispam-ufrj.pads.ufrj.br/test-relay.html Ele chega no teste numero 10 e o quamil aceita. RSET 250 flushed MAIL FROM:spamt...@[189.108.123.12] 250 ok RCPT TO:relaytest%antispam-ufrj.pads.ufrj.br 250 ok Porém ele não chega a enviar de fato uma mensagem, então eu fui confirmar e ele não faz relay nesse caso não, ele tenta entregar local. Mesmo assim, eu poderia evitar esse falso-positivo se me funcionasse o control badrcptto com expressão regular assim: badrcptto: *%* *!* *...@*@* Mas não funciona, usava isso antes do qmail-ldap... Agora o que é estranho também é que o mailer-daemon me manda um email avisando mensagens que não puderam ser entregues: Hi. This is the qmail-send program at qmail.bebedouro.sp.gov.br. I tried to deliver a bounce message to this address, but the bounce bounced! Contate o Administrador da rede dennis...@att.net: Connected to 12.102.252.75 but sender was rejected. Remote host said: 521-189.108.123.12 blocked by sbc:blacklist.mailrelay.att.net. 521 DNSRBL: Blocked for abuse. See http://att.net/blocks dennisgo...@bellsouth.net: Connected to 204.127.217.16 but greeting failed. Remote host said: 550-189.108.123.12 blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks Aqui ele mostra mais vários endereços, ele tentou entregar as mensagens, provavelmente spam, e só não teve sucesso devido a política dos destinatários como podemos ver no Remote host said Depois desses endereços vem a mensagem: --- Below this line is a copy of the message. Return-Path: falecono...@bebedouro.sp.gov.br Received: (qmail 67017 invoked from network); 23 Sep 2009 12:43:59 -0300 Received: from unknown (HELO qmail.bebedouro.sp.gov.br) (189.108.123.14) by parati.mdbrasil.com.br with ESMTP; 23 Sep 2009 12:43:59 -0300 Received-SPF: pass (parati.mdbrasil.com.br: SPF record at bebedouro.sp.gov.br designates 189.108.123.14 as permitted sender) Received: (qmail 37020 invoked from network); 23 Sep 2009 12:46:14 -0300 Received: from unknown (HELO IMPS4001) (falecono...@[192.168.1.115]) (envelope-sender falecono...@bebedouro.sp.gov.br) by qmail.bebedouro.sp.gov.br (qmail-ldap-1.03) with SMTP for mil...@diarioweb.com.br; 23 Sep 2009 12:46:14 -0300 Message-ID: 01df01ca3c64$8428e830$7301a...@imps4001 From: Assessoria de Imprensa - Prefeitura Municipal de Bebedouro falecono...@bebedouro.sp.gov.br To: mil...@diarioweb.com.br Subject: =?iso-8859-1?Q? Espa=E7o_Crian=E7a_Ecol=F3gica_recebe_mais_de_600_crian=E7?= =?iso-8859-1?Q?as?= Date: Wed, 23 Sep 2009 12:42:54 -0300 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary==_NextPart_000_01DA_01CA3C4B.5EC89D60 X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.3598 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3350 This is a multi-part message in MIME format. --=_NextPart_000_01DA_01CA3C4B.5EC89D60 Content-Type: multipart/related; type=multipart/alternative; boundary==_NextPart_001_01DB_01CA3C4B.5EC89D60 --=_NextPart_001_01DB_01CA3C4B.5EC89D60 Content-Type: multipart/alternative; boundary==_NextPart_002_01DC_01CA3C4B.5EC89D60 --=_NextPart_002_01DC_01CA3C4B.5EC89D60 Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: quoted-printable =20 Espa=E7o Crian=E7a Ecol=F3gica recebe m --- Rest of message truncated. Então ele me mostra essa mensagem, essa é uma mensagem legítima enviado pelo departamento de imprensa, mas eles não enviam para esses endereços, nem sei o que está acontecendo. Será que de alguma forma é possível que estejam interceptando esses envios e aproveitando a sessão ja autenticada do nosso falecono...@bebedouro.sp.gov.br pra enviar os spams? De qualquer forma vou dar uma revisava nos itens que vc me passou, muito obrigado. Fernando. Em 23/09/2009, às 14:34, Luiz Morte escreveu: Oi Fernando, Tenta fazer primeiro um teste de sites da internet. Procura no google que vai encontrar alguns. Ele irá fazer uns 20 testes com relação a relay. Em relação ao arquivo, o padrão é algo assim: :allow,SMTPAUTH=,QMAILQUEUE=/var/qmail/bin/qmail-queue Da uma olhada também nos seguintes itens: TARPITCOUNT BLOCKRELAYPROBE SENDERCHECK RCPTCHECK RETURNMXCHECK SANITYCHECK REJECTEXEC Todos podem ser vistos em www.qmail-ldap.org []s, Luiz Morte. Fernando Buzon Macedo escreveu: Ola pessoal, uso qmail-ldap e tenho visto aqui nos meus logs que estão conseguindo me usar! rs Me ajudem... Olha o meu tcp: 127.0.0.1:allow,RELAYCLIENT= 192.168.1.234:allow,RELAYCLIENT= 192.168.:allow,RELAYCLIENT=,AUTHREQUIRED= :allow,SMTPAUTH= Eu penso que isso seria: 127.0.0.1:allow,RELAYCLIENT= 192.168.1.234:allow,RELAYCLIENT= Localhost e esse servidor 192.168.1.234 podem fazer relay sem autenticar. 192.168.:allow
Re: [FUG-BR] RES: Layer 7 no FreeBSD
O iptables do linux tem opção de trabalhar com layer 7, o pf e o ipfw não tem não. Até porque quem vai usar firewall pra tratar camada 7 se a gente ja tem um software muito mais eficiente nesse sentido que é o snort. Camada 7 é snort sem dúvida... abs Em 23/09/2009, às 23:05, mantunes escreveu: mas será que no pfsense esta com problemas ?? 2009/9/23 Eduardo Schoedler eschoed...@viavale.com.br: Tinha um pessoal na lista testando o classifyd, não sei como terminou. Parece que rolou alguns problemas. -- Eduardo Schoedler Luiz Gustavo S. Costa escreveu: O pfsense usa isso aqui: http://lists.freebsd.org/pipermail/freebsd-net/2008-July/019086.html http://roadtoqos.wordpress.com/2008/11/13/ipfw-classifyd/ da uma olhada ai 2009/9/23 Gustavo Freitas gst.frei...@gmail.com: Pessoal, Vi que existe solução para layer 7 no pfsense porem não como posso implementar no FreeBSD. Alguem sabe como o pfsense implementa ? http://www.di.uminho.pt/~prh/uce15-0809/g13.pdf - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Layer 7 no FreeBSD
Precisa ver qual é a sua real necessidade, as vezes pra fazer o que você quer não precisa ser pela camada 7. Pois geralmente as regras de camada 7 a gente aplica para servidores ou aplicações de forma geral, sem ter que fazer regras diferentes por grupos de usuários. Mas de qualquer forma, da uma olhada la nas rules dele, vc vai ver que são feitas com base em variáveis como HOME_NET, EXTERNAL_NET, SMTP_SERVERS e assim por diante. Essas variáveis são definidas no snort.conf Você pode criar variáveis novas para utiliza-las nas regras ou mesmo criar regras personalizadas sem variaveis, ja colocando os ips direto na regra, vc quem manda. Olha aqui o exemplo: no snort.conf: var HOME_NET [192.168.0.0/24] var EXTERNAL_NET any As regras no Snort tambem obedecem a um modelo: tipo_de_alerta protocolo rede_origem porta_origem - rede_destino porta_destino (Cabeçalho da Regra; Opções;9sid:X;...); Um exemplo bem simples de regra: alert tcp $EXTERNAL_NET any - 192.168.1.0/24 111 (content:|00 01 86 a5|; msg:mountd access;sid:11) Ai também tem o seguinte, eu uso o snort inline (ele ouve numa porta e eu logo no inicio do firewall faço um divert pra ele) dessa forma, na regra eu mudo o alert para drop, caso contrário ele apenas loga e não corta a conexão. Acho a melhor opção, porém tem o flexresp2 também, nativo do snort, onde ele envia um pacote por exemplo de reset para a origem e assim interrompe a conexão também (é configurável essa resposta, caso se interesse procure mais a respeito). O pf sense acredito que não vai ser descontinuado não. Ele não é um concorrente do snort é uma interface gráfica para escrever firewalls apenas. Boa sorte. abs. Em 24/09/2009, às 12:59, thiagomespb escreveu: será que o snort faz regras por grupo de usuarios ou bloqueio geral ? outra duvida é ele bloqueia aplicação ou o ip do usuario : No caso do pfsense eu olhei, tem na versao 2.0 tanto em freebsd 7.2 ou 8.0 não sei se vão descontinuar não.. 2009/9/24 Welkson Renny de Medeiros welk...@focusautomacao.com.br: Luiz Gustavo S. Costa escreveu: O pfsense usa isso aqui: http://lists.freebsd.org/pipermail/freebsd-net/2008-July/019086.html http://roadtoqos.wordpress.com/2008/11/13/ipfw-classifyd/ da uma olhada ai A solução é baseada no l7-filter do Linux, até as REGRAS são as mesmas. Eu não cheguei a testar, mas todos falaram que é bem legal. Patrick fez alguns testes mais pesados e o bicho não aguentou Pelo que vi só saiu essa versão mesmo, o desenvolvedor não fez nenhuma melhoria. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd