該內容受密碼保護。如欲檢視請在下方輸入你的密碼:
密碼:
提示: 手機號碼
該內容受密碼保護。如欲檢視請在下方輸入你的密碼:
密碼:
提示: 手機號碼
O.S: FreeBSD 7.1 Release
因為現在 Google Apps (Google 應用服務)實在太方便了,想要一個有 SSL 的 mail server 不但不用安裝 postfix+Cyrus SASL+smtp... 等等拉拉雜雜的軟體,不但要設定一堆東西,還要提心吊膽什麼時後會被鑽到漏洞變成別人的垃圾信箱發信端。只是需要設定 DNS 而已(這個就不多說了,網路上免費的不少,如果你有自己的 domain 的話,就更方便囉)。不過,如果像我一樣是用 FreeBSD 架伺服器的話,有些 log 信件還是會寄給 root,就算你用 mail alias 也是沒辦法發到正確的信箱。我也不知道為啥,可能是 mail alias 只能選擇本機的帳號吧,我填設定好的 Google Apps 的信箱,怎樣都不能,都出現:
Feb 18 01:17:12 denniswave sm-mta[33034]: n1HHHBeH033034: Losing ./qfn1HHHBeH033034: savemail panic Feb 18 01:17:12 denniswave sm-mta[33034]: n1HHHBeH033034: SYSERR(root): savemail: cannot save rejected email anywhere
最近因為 Sososipder (搜搜網的 robot)實在是太機車了。
官網的說明還說會遵照 robot.txt 的規範(阿為什麼 google bot 就不會找我的網站),所以就找了一些方法來直接擋掉搜搜網的網域(有人是 ban 掉兩個 class C 的~我比較狠,我直接 ban class B)。
以下是一些方法,不過都沒用。後來還是請出 pf 來擋掉才可以...>"<
From:http://www.real-blog.com/programming/116
http://demo.xms.com.tw/xms/content/show.php?id=2617
一般來說這種頻寬控管的rule都很像,先把水管大小訂出來,然後再配合firewall的rule,決定哪些packet要走哪條水管。例如下面就訂了兩條水管:
altq on $extdev cbq bandwidth 3Mb queue {def_ext, www_limit} queue def_ext cbq(default) queue www_limit bandwidth 300Kb cbq(red)
在$extdev上面先定一條3Mb的水管,下面再分了兩條水管:def_ext、www_limit,www_limit限流300Kb,def_ext沒有限制。altq支援兩種queue scheduler:CBQ和PRIQ,CBQ可以定頻寬寬度,PRIQ則是定封包的優先權。queue下面還可以再分多個queue,這邊只分了兩個queue。
From:
http://www.openbsd.org/faq/pf/queueing.html
http://blog.dhchen.com/2005/03/27/83
SSHGuard 是一個跟防火牆配合來防止 SSH 被暴力測試的 Port。後來有 sshguard-pf 這個 port 直接配合 pf。
#pfctl -e //啟動 PF
#pfctl -d //停用 PF
#pfctl -f /etc/pf.conf //重新載入 pf.conf 設定檔
為了防止 pf 規則寫錯:
pfctl -f 的時候不忘加上 ;sleep 10; pfctl -d
#pfctl -nf /etc/pf.conf //檢查 PF 語法是否正確 (未載入)
#pfctl -Nf /etc/pf.conf //僅載入 NAT 的設定檔
#pfctl -Rf /etc/pf.conf //僅載入防火牆的過濾設定檔
因 pf 是last match,..所以順序錯了,就連不上網了
Macro:定義網路介面
Tables:管理 IP List
Options:選項設定
Traffic Normalization:通訊正常化
Queueing:(ALTQ)定義頻寬控制的進出
Translation:(NAT)定義封包轉換
Packet Filtering:定義防火牆規則
第一步: 編輯 kernel,在最後方加入支援 IP firewall 的設定。
#IPFW FireWall
options IPFIREWALL #開啟基本的封包過濾功能
options IPFIREWALL_DEFAULT_TO_ACCEPT #設定 IPFIREWALL 的例外狀況
options IPFIREWALL_VERBOSE #設定記錄過濾日誌
options IPFIREWALL_VERBOSE_LIMIT=100 #設定日誌記錄檔大小的限制
options IPDIVERT #IP firewall 與 natd 的 port 定義, NAT 必要
options IPFIREWALL_FORWARD #子網域封包的傳輸轉遞
options DUMMYNET #IP firewall 限制頻寬設定必要選項
然後重新編譯 kernel 檔。
From:http://redeyeberg.blogspot.com/2007/02/nat-firewall.html
rc.conf 裡也設定了對外轉封包的設定 (natd_interface="bge0" # bge0是伺服器對外的網卡),理應在開機後就可以自動開啟轉封包的功能,被這問題迫到我把所有的 kernel 的功能選項都打開重編核心,所有機器上沒用的硬體也都支援,依舊無解。
後來在 natd 的說明中看到了手動啟用 NAT 的指令,姑且一試吧!
# natd -interface bge0
乖乖,竟然就暢通無阻。
From:http://redeyeberg.blogspot.com/2007/04/freebsd-62-nat.html
最近迴響