Re: 1) А есть ли IP-based ACL? 2) Лицензии.

От: Boris Tyshkiewitch <bvt_at_mx_ru>
Дата: Tue 22 Aug 2000 - 19:12:32 MSD


On Tue, Aug 22, 2000 at 06:28:29PM +0400 Alexander Alekseev wrote:

> > > Назрело два вопроса (после прочтения документации,
> > > к которой меня отослали)
> > > 1) Можно ли писать ACL на пару <account,IP> ?
> >
> > Нет, ACL применяются на уровле listener, т.е. когда работа
> > идет на уровне TCP, и информации прикладных протоколов
> > SMTP/POP3 еще нет.
> >
> > > После прочтения доки на роутер создалось впечатление,
> > > что можно писать подобие ACL на обратную зону DNS,
> >
> > Роутер велик могуч и ужастен. Без лишней нужды делать
> > слишком сложные конструкции в нем не стоит.
> А на чем же их делать?

  На понятиях Client/Mobile users

> > > а на сами IP? То есть хочется:
> > > аккаунт postmaster@domain.ru :
> > > разрешена выемка почты с 192.168.1.0/28
> > > разрешена отсылка почты с 192.168.1.2/32
> > > подсеть 192.168.1.0/24 :
> > > разрешена отсылка почты с обратным доменом @domain.ru
> > > IP 192.168.1.10 :
> > > force "From: user@domain.ru"
> >
> > А точно нужно так усложнять? Есть три группы пользователей:
> >
> > 1. Clients (их IP явно прописаны)
> > 2. Mobile (им разрешено становиться Clients с любых IP)
> > 3. Все остальные
> >
> > Вот на этом уровне можно манипулировать правами.
> Не получается. Это когда dialup + пара выделенок, тогда все ОК. > А когда dialup нет, а выделенок несколько тысяч на ма...леньких клиентов,

  У Вас есть намерение померяться .... (хм, как бы это сказать поприличнее)? :-))

  У нас достаточно сложная конфигурация (free email/dialup/LL), и вроде всего хватает. И в RBL пока не попали.

> то со спамерами и горе-хакерами бороться надо радикально. Заключил
> договор - работай, не заключил - извиняйте. А то так и в rbl загреметь
> не долго. 

  Итак, клиент на LL. Старая задача просто обеспечить релеинг почты только от клиентских SMTP серверов решается совсем просто через Settings->SMTP->Relay for Clients Only. Это даже неинтересно. Рассматриваем сложный вариант с заведением отдельного эккаунта или домена.

  Заключил договор, получил отдельный домен или эккаунт. Включаем сервис. Разрешаем в домене или эккаунте за что он заплатил:

  Mail - прием почты
  POP/IMAP/WebMail - чтение почты
  Relay - отправка (SMTP)

  Можно включить все сразу, можно вымогать денег по отдельности. Воля Ваша. IP адреса выделенные клиенту включаем в список в Settings->Protection. Для острастки там-же включаем "Grant Access from Client Addresses Only".

  Отключаем сервис (за деньги или за спам) - выключаем все галочки. Или не все, а только Relay.

  Все. Пока даже Mobile не понадобилось.

> Вообще-то вся база лежит в Oracle, и хочется ее как-то интегрировать с > мэйлером.

  У нас тоже там живет. Все управление через CLI. Ссылку на наш модуль я давал. Возможно еще опубликуем программу управления контрактами, если кто вдруг осознает ее необходимость.

Boris.

##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки   <CGatePro@mx.ru>.
Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru> Получено Tue Aug 22 15:13:26 2000

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:12:16 MSK