1 / 212

2016.09.23

SPAMASSASSINにBarracuda Reputationを引かせる

リレーサーバーの Back Scatterの対策もしたところ随分とこれは減ったんで。
ついでにメインのサーバーの spamassassinにも barracuda reputationを引かせるようにしておこう。

user_prefsに Brracudaのエントリを追加して spamassassinの再起動で OK

header          RCVD_IN_BRCD_REPT    eval:check_rbl_txt(‘brbl’,’b.barracudacentral.org.’)
describe        RCVD_IN_BRCD_REPT    Received via a relay in b.barracudacentral.org
tflags          RCVD_IN_BRCD_REPT    net
score           RCVD_IN_BRCD_REPT    2.5

識別名(RCVD_IN_BRCD_REPT )は何でもいいけど分かりやすく。
引っかかった時のscoreは 2.5ポイントでしばらく様子を見てみよう。

しばらく SPAMが来るのを待って maillogにRCVD_IN_BRCD_REPT があれば動作している。
待っていると Barracudaに引っかかるのがなかなか来なかったりするwww

幸い引っかかるやつが来たらレポートには

2.5 RCVD_IN_BRCD_REPT      RBL: Received via a relay in b.barracudacentral.org
[Client host blocked using Barracuda Reputation,]
[see <http://www.barracudanetworks.com/reputation/?r=1&ip=83.96.87.209>]

こんな感じで出力されているはず。

2016.09.15

back scatter

最近 backup mx(secondary mx)に対する back scatterが多くなってきたて、このままだと、ip reputationとか rblに登録されちゃったらかなわんので対策。

うちの場合、backup mxは sendmailで運用しているのだが  relay-domainsに受け取る(転送する)ドメインを指定しているわけだが、ユーザーテーブルを持たないので、それこそrelay-domainsに書いているドメインであれば宛先が実在しようとしなかろうと受け取ってしまってリレー先に転送してしまう。
リレー先では当然 511 user unknownを backup mxに返すわけだが、差出人に返すのは backup mxの仕事。
と言うことで、差出人を詐称していれば詐称先に「そんなユーザー居ないよう」って返すんだが、詐称している先だからこれがバウンスしてキューに溜まったり、返送できてしまったら受け取った側はそれこそ迷惑メール!
ま、これが smtpの盲点を突いた back scatterなわけだが….
(さらに…)

2016.08.19

squidで sslポートが 443以外だと…

squid.conに acl SSL_ports port に該当するポートを足さないといけないんだが…
ポートが 1025以下のポートだとこれだけでは駄目です。

confをよーく見ると
acl Safe_ports port 1025-65535
てあるんだが 1024以下のポートは全部いちいち指定しているんだな。

で、例えば sslポートが 81だったりした場合、
acl SSL_ports port 81 443
acl Safe_ports port 81                                    <— こいつ!!!
を合わせて設定しないといつまでたっても

1471607732.309      0 192.168.100.xxx TCP_DENIED/403 3592 CONNECT somewhre.tld:81 – HIER_NONE/- text/html

になっちまう。
よーく confを見れば分かるんだが、うっかり :-(

 

2016.08.06

メモリーディスクでシステム構成

FreeBSDで SSDや USBメモリーなんかのブートデバイスでシステムを作る場合、/varや/tmpへの書き込みが多くて寿命がちょっと心配。
で、tmpmfsや varmfsを使って RAMディスク上にこれらを作ると、メモリーデバイスへの書き込みはほとんどなくなって roでシステムを作れる。
でも RAMディスクなんで当然再起動ですっぱりなくなってしまう。(起動時に /varは /etc/rc.d/var と/etc/mtree/BSD.var.distで再構築はしてくれる)
/var/logなんてすっぱりなくなったら、とっても困ったことになる訳なんで、logだけは usbなりに別途書いておきたい。 (さらに…)

2015.12.19

fwtkふたたび

を~
しばらく FWをほったらかしにしてたけど、portsからいつの間にか fwtkなくなってやんの。

ま、今更だけど、無いとちょっと困るので(plug-gw/ftp-gwが使いやすいから)念のために置いておく。

openfwtk-2.1pre10.tar

Makefile.configの OSTYPEを修正して
make ; make install PREFIX=/usr/local
だ。

2014.05.29

FreeBSD Hardware RAIDと smartmontools

ちょっと備忘録。

FreeBSD 8.x系で LSI LogicのハードRAIDを使っている時の物理ディスクの S.M.A.R.T.取得方法

mtpデバイスの場合:

smartctl -a /dev/passX

passXのところは 0がコントローラー

1がバックプレーン

2以降が物理ディスク

 

mfiデバイスの場合:

kldload mfip.ko

でカーネル・モジュールを読み込んでおいて、mptデバイスと同様に passXデバイスを指定すればいい。

コントローラーやバックプレーンは出ないみたいなで物理ディスクの S.M.A.R.T.表示だけ。

 

 

2013.10.07

SSDが死んだ…

クライアントレベルの MLCタイプの SSDでサーバーを構築して動かしていたが、やはり死んだ。

稼働15,000時間だから約1.5年。もうちょっともってもよさそうなんだけど、同時期に購入した2台が前後して逝ったのでそんなもんなんだろう。

耐久試験的な運用も兼ねて ハードRAIDなんか組んでたしな。やはりウェアレベリングだけでは持ちこたえられないか。同じ環境で ReadOnlyなファイルシステムにしているの SSDははまだ全然平気みたいなので書き換え回数の問題か?….

 

予期していたとはいえ予兆も何もなく突然。一台は smartの読みだしもできなくなってるし。中身の読み出しも不可! もう一台は smartは読み出せるけどデータは読めない。smartが読めるのでこれから原因を探ってみよう。ところでこう言う SSDってハードディスクの様なチェックプログラムってあるのかな?

 

まっ、システム自体はバックアップがあるから良いようなものの。やっぱり、サーバーにはエンタープライズSSDや SASにしとくべきだな。

次期は エンタープライズSSD買ってみるか。う~ん、高い….

2013.10.06

FreeBSD 8.xで USB 3.0 からブート

家のGWを置き換えるのにスピンドルレスで。

8.2から USB3.0をサポートしたと思ってたんだけどインストーラーで USBメモリを認識しない? なんで。

と思ったら、インストーラーは xhciをデフォルトでは読み込まないみたいね。ブートメニューで「6」 Escape to loader promptで

load xhci してbootでOK。

 

インストール済んだら /boot/loader.confに

xhci_load=YES

を忘れずに。

2013.09.26

iphoneの広告を消す (その2)

さて、wifi経由だと広告を消す(と言うか非表示にする)ことができたのだが、3G回線などのデータ通信の場合 proxyをそのままでは通せないので広告は消せない。

回避策としては

  1. VPN接続では proxyの指定ができるので、いったん VPNで鯖につないで proxyを通す
  2. iphone構成ユーティリティを使って apnの設定に proxyの指定を入れる

まぁ、1.の方が圧倒的に設定は楽。というか VPN接続の設定に proxyの設定を入れるだけなので wifi接続の時と変わらない。いちいち vpnを起動しないといけないので面倒と言えば面倒だが…

2.は iphoneのプロファイルを書き換えてしまうので、リスク大。動かなくなっても知りません、責任取りません。あくまでも自己責任で。

それでもやるという人は….. (さらに…)

iphoneの広告を消す

広告を消すというか広告を非表示にする訳だが。

androidだと rootを取って adawayや adfreeを入れればほとんどの広告を消せるけど iphoneではなかなかそう言うのがない。と言うか全くない。まっ、root取れない androidでも消せないけどね。

そこで違ったアプローチ….

androidでも iphoneでも wifiだと proxyの設定ができるので proxyで広告サイトを弾いてしまおう。

原理は簡単だけど、設定は大変。少なくとも、ネットワークや UNIXの知識は最低限必要なので….

前提条件:

  • 自前の鯖を立てられる人
  • データ通信で PROXY通す場合は、iphoneの設定しくると全く通信できなくなるので自分で責任を持って出来る人

(さらに…)

1 / 212