URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 3847
[ Назад ]

Исходное сообщение
"Squid Hole?"
Отправлено Norn , 06-Фев-06 11:42

Всем здрасте!
Сейчас имею небольшой набор ACL'ов:
Allow manager localhost(127.0.0.1/255.255.255.255)
Allow LocalNetwork(10.0.0.1/255.255.255.0)
Deny manager(cache_object)
Deny !Safe_port(80,21,70,210,1025-65353,280,488,591,777,443,563)
Deny CONNECT(Request Method) !SSL_port(443 563)
Deny all
При этом стоит мне открыть в ipfw 3128 для всех как тут-же злобные китайцы начинают
слать через squid спам на 25 порт.
Скорее всего что-то я в настройках squid не учел... Если можете подсказать, пожалуйста, буду премного благодарен.

Содержание

Squid Hole?,ipmanyak, 13:22 , 06-Фев-06
- Squid Hole?,Norn, 13:40 , 06-Фев-06
  - Squid Hole?,Norn, 13:42 , 06-Фев-06
    - Squid Hole?,Norn, 13:45 , 06-Фев-06
- Squid Hole?,BB, 22:47 , 02-Апр-06
Squid Hole?,Stariy_V, 14:46 , 15-Мрт-06

Сообщения в этом обсуждении

"Squid Hole?"
Отправлено ipmanyak , 06-Фев-06 13:22

сквид не знает SMTP протокол, так что через сквид по 25 порту не поспамишь, думаю firewall  у вас неправильно настроен или  smtp  сервер является открытым релеем.
а правила сквида насчет акселей по юзерам должны иметь примерно такой вид
acl all src 0.0.0.0/0.0.0.0   #  весь интернет
acl our_net  192.168.0.0/0.0.0.0   #  ваша локальная сеть
http_access allows our_net
http_access deny all

"Squid Hole?"
Отправлено Norn , 06-Фев-06 13:40

>сквид не знает SMTP протокол, так что через сквид по 25 порту
>не поспамишь, думаю firewall  у вас неправильно настроен или
>smtp  сервер является открытым релеем.
Вообщем с проблеммой разобрался 50 на 50.
http://www.securityfocus.com/bid/4131/discuss
Закрыл SSL_port (443, 563). помогло. не совсем понятно почему. скорее всего потому что просто метод CONNECT стал недоступен.
А на счет через сквид не поспамиш....
1138999666.075  13775 218.168.79.238 TCP_MISS/200 3887 CONNECT 127.0.0.1:25 - DIRECT/127.0.0.1 -

"Squid Hole?"
Отправлено Norn , 06-Фев-06 13:42

А Postfix у меня с локалхоста пускает все.

"Squid Hole?"
Отправлено Norn , 06-Фев-06 13:45

И еще, если это может помочь....
Директит только коннекты с неизвестым MIME Type.
Те же в которых MIME text/html денаит.

"Squid Hole?"
Отправлено BB , 02-Апр-06 22:47

>сквид не знает SMTP протокол, так что через сквид по 25 порту не поспамишь
А ему и не надо знать SMTP протокол... Достаточно что он умеет CONNECT. Именно так половина спама и рассылается - через дырявые прокси...

"Squid Hole?"
Отправлено Stariy_V , 15-Мрт-06 14:46

>При этом стоит мне открыть в ipfw 3128 для всех как тут-же
>злобные китайцы начинают
>слать через squid спам на 25 порт.
>
>Скорее всего что-то я в настройках squid не учел... Если можете подсказать,
>пожалуйста, буду премного благодарен.
http_port internal_IP:3128
где internal_IP - IP сетевухи смотрящей во внутреннюю сеть, если сетевух несколько и надо чтобы на всех сквид принимал запросы тогда:
http_port internal_IP1:3128
http_port internal_IP2:3128 и т.д.