Всем здрасте!Сейчас имею небольшой набор ACL'ов:
Allow manager localhost(127.0.0.1/255.255.255.255)
Allow LocalNetwork(10.0.0.1/255.255.255.0)
Deny manager(cache_object)
Deny !Safe_port(80,21,70,210,1025-65353,280,488,591,777,443,563)
Deny CONNECT(Request Method) !SSL_port(443 563)
Deny allПри этом стоит мне открыть в ipfw 3128 для всех как тут-же злобные китайцы начинают
слать через squid спам на 25 порт.Скорее всего что-то я в настройках squid не учел... Если можете подсказать, пожалуйста, буду премного благодарен.
сквид не знает SMTP протокол, так что через сквид по 25 порту не поспамишь, думаю firewall у вас неправильно настроен или smtp сервер является открытым релеем.
а правила сквида насчет акселей по юзерам должны иметь примерно такой вид
acl all src 0.0.0.0/0.0.0.0 # весь интернет
acl our_net 192.168.0.0/0.0.0.0 # ваша локальная сеть
http_access allows our_net
http_access deny all
>сквид не знает SMTP протокол, так что через сквид по 25 порту
>не поспамишь, думаю firewall у вас неправильно настроен или
>smtp сервер является открытым релеем.Вообщем с проблеммой разобрался 50 на 50.
http://www.securityfocus.com/bid/4131/discuss
Закрыл SSL_port (443, 563). помогло. не совсем понятно почему. скорее всего потому что просто метод CONNECT стал недоступен.А на счет через сквид не поспамиш....
1138999666.075 13775 218.168.79.238 TCP_MISS/200 3887 CONNECT 127.0.0.1:25 - DIRECT/127.0.0.1 -
А Postfix у меня с локалхоста пускает все.
И еще, если это может помочь....
Директит только коннекты с неизвестым MIME Type.
Те же в которых MIME text/html денаит.
>сквид не знает SMTP протокол, так что через сквид по 25 порту не поспамишь
А ему и не надо знать SMTP протокол... Достаточно что он умеет CONNECT. Именно так половина спама и рассылается - через дырявые прокси...
>При этом стоит мне открыть в ipfw 3128 для всех как тут-же
>злобные китайцы начинают
>слать через squid спам на 25 порт.
>
>Скорее всего что-то я в настройках squid не учел... Если можете подсказать,
>пожалуйста, буду премного благодарен.http_port internal_IP:3128
где internal_IP - IP сетевухи смотрящей во внутреннюю сеть, если сетевух несколько и надо чтобы на всех сквид принимал запросы тогда:
http_port internal_IP1:3128
http_port internal_IP2:3128 и т.д.