Hello!
On Tue, 22 Aug 2000, Boris Tyshkiewitch wrote:
> On Tue, Aug 22, 2000 at 06:28:29PM +0400 Alexander Alekseev wrote:
>
> > > > Назрело два вопроса (после прочтения документации,
> > > > к которой меня отослали)
> > > > 1) Можно ли писать ACL на пару <account,IP> ?
> > >
> > > Нет, ACL применяются на уровле listener, т.е. когда работа
> > > идет на уровне TCP, и информации прикладных протоколов
> > > SMTP/POP3 еще нет.
> > >
> > > > После прочтения доки на роутер создалось впечатление,
> > > > что можно писать подобие ACL на обратную зону DNS,
> > >
> > > Роутер велик могуч и ужастен. Без лишней нужды делать
> > > слишком сложные конструкции в нем не стоит.
> > А на чем же их делать?
>
> На понятиях Client/Mobile users
Дык, нету у меня Mobile. Вернее могут потом появиться парочка.
> > > > а на сами IP? То есть хочется:
> > > > аккаунт postmaster@domain.ru :
> > > > разрешена выемка почты с 192.168.1.0/28
> > > > разрешена отсылка почты с 192.168.1.2/32
> > > > подсеть 192.168.1.0/24 :
> > > > разрешена отсылка почты с обратным доменом @domain.ru
> > > > IP 192.168.1.10 :
> > > > force "From: user@domain.ru"
> > >
> > > А точно нужно так усложнять? Есть три группы пользователей:
> > >
> > > 1. Clients (их IP явно прописаны)
> > > 2. Mobile (им разрешено становиться Clients с любых IP)
> > > 3. Все остальные
> > >
> > > Вот на этом уровне можно манипулировать правами.
> > Не получается. Это когда dialup + пара выделенок, тогда все ОК.
> > А когда dialup нет, а выделенок несколько тысяч на ма...леньких клиентов,
>
> У Вас есть намерение померяться .... (хм, как бы это сказать поприличнее)?
> :-))
Ни в коей мере. Я вообще мал и слаб. ;-)) И не претендую. Просто
специфика-с...
> У нас достаточно сложная конфигурация (free email/dialup/LL), и вроде
> всего хватает. И в RBL пока не попали.
А вот @co.ru попал.
> > то со спамерами и горе-хакерами бороться надо радикально. Заключил
> > договор - работай, не заключил - извиняйте. А то так и в rbl загреметь
> > не долго.
>
> Итак, клиент на LL. Старая задача просто обеспечить релеинг почты только
> от клиентских SMTP серверов решается совсем просто через
> Settings->SMTP->Relay for Clients Only. Это даже неинтересно. Рассматриваем
> сложный вариант с заведением отдельного эккаунта или домена.
Нету у него серверов! У него вообще один комп стоит. Или 2. Или 5. Даже 10.
И он СОВСЕМ не понимает, как оно работает. К нему ходит наша служба
тех. поддержки и переставляет винды. Да был бы хоть у одного толковый
админ, скольких проблем у меня бы не было!!! А то ведь ничего о
технологиях знать не хотят, пароли теряют, etc... А потом "у меня
тут есть специалист, только он был последний раз месяц назад. Он
тут чего-то настраивал...". А в настройках-бардак.
Я просто раз и навсегда застраховаться хочу: Есть пара клиент-аккаунт. Или клиент-домен. Клиент раз и навсегда привязан к подсети. Вот и пусть не имеет ФИЗИЧЕСКОЙ возможности лезть куда не надо. Даже (как оно обычно и бывает) без умысла, а исключительно по глупости.
И еще я хочу, чтобы клиент был ОБЯЗАН указывать только свой реальный обратный адрес. Так что Relay for Clients Only не подходит. Он еще должен уметь "Force From: field". А еще лучше "Force full header". А то начинается непойми что... А я потом получаю тьму почты, что кто-то опять стучался на <http://...> или <Вася пупкин@http://...>, или еще чего придумают. Юзеры как правило терпеливые - он десять раз пошлет письмо с мегабайтным аттачментом, пока додумается до правильного адреса.
Т.е. нужен Mobilie Users для каждого домена с указанием области мобильности. Т.е. я не могу позволить клиентам перемещаться внутри моих подсетей. Зато в рамках выделенной им - пожалуйста.
> Можно включить все сразу, можно вымогать денег по отдельности. Воля Ваша.
> IP адреса выделенные клиенту включаем в список в Settings->Protection.
> Для острастки там-же включаем "Grant Access from Client Addresses Only".
Дык, не могу же я для каждого домена из 1 аккаунта заводить свой почтовый
сервер со своим списком Client IP? !!!
> Все. Пока даже Mobile не понадобилось.
Угу. нету у меня никакого Mobile. И никогда (скорее всего) не будет. За
принципиальной ненужностью. (Опять же исключительно в силу местной
специфики.)
Bye. Alex.
##################################################################Вы получили это сообщение потому, что подписаны на список рассылки <CGatePro@mx.ru>.
Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>Для административных запросов адрес <CGatePro-request@mx.ru> Получено Tue Aug 22 15:35:12 2000
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:14:03 MSK