Сервер в кармане, или просто о сложном!

Download Master и ClamWin - безопасный дуэт

Обновлено: 13.09.2025

Традиционно считается, что такие продукты, как Касперский, NOD, Symantec и им подобные настолько превосходят более слабые некоммерческие проекты, что последние тихо отдыхают и работают в основном на почтовых серверах FreeBSD или Linux, да и то не всегда, настолько сильна вера в клиентские "интегрированные" "тяжеловесы".

Но, как многие также знают, каждый антивирус обладает своими особенностями, которые отличают его от конкурентов, и вполне возможна ситуация, когда один антивирус не обратит внимания на тот файл, который другой посчитает инфицированным.

Также известен факт, что установить на один компьютер Касперского и, скажем, NOD, без "бубнов" и прочих примудростей не выйдет (а если и выйдет, то проактивная защита все равно будет работать криво).

Теперь представим, что есть некий человек, который активно качает "всяко-разно" из интернета, музыку там, видео... У него установлен тот же NOD, Ad-Aware и Outpost. И пусть человек этот - параноик (хотя даунлоадеров-параноиков по Дарвину быть не должно) и он хочет дополнительно проверять скачиваемые файлы каким-либо другим антивирусом, желательно, в автоматическом режиме, и, желательно, не оплачивая вторую-третью-и-так-далее лицензии разных крупных антивирусов, которые все равно вместе "не дружат". На помощь можно призвать тех самых неброских бесплатных антивирусов без навороченной проактивной защиты, но активно поддерживаемых и регулярно обновляемых сообществом. Например, ClamWin.

ClamWin, свободный антивируcный сканер для платформ Microsoft Windows 98/Me/2000/XP/2003/Vista. Он обеспечивает графичеcкий интерфейс пользователя к программе ClamAV, одного из крупных представителей бесплатных антивирусов. Сайт http://ru.clamwin.com/. О возможностях этого антивируса вы можете прочесть на его странице (прямо на первой странице), а мы продолжим. Скачиваем, устанавливаем, обновляемся. Ок, теперь наш компьютер имеет еще один антивирус. Здорово, но он он не резидентный антивирус, а посему файлы сам проверять не станет.

Скачивать файлы можно разными качалками, среди которых Download Master можно выделить двумя моментами: 1) бесплатность 2) возможность подключить внешний антивирус для автоматической проверки скачиваемых файлов. Уже поняли, к чему это я? Идем на http://www.westbyte.com/dm/, качаем последнюю версию и устанавливаем ее. Кроме многих фишек (типа скачивания видео с youtube), нас интересует меню "Инструменты" - "Настройки" - "Автоматизация" - "Антивирус".

Отмечаем галочку "Проверять файлы на вирусы после закачки", в поле "Антивирусная программа" пишем:

 C:Program FilesClamWininclamscan.exe (это путь для ClamWin по-умолчанию),

в поле "Параметры" пишем:

--database="C:Documents and SettingsAll Users.clamwindb" --move="C:Documents and SettingsAll Users.clamwinquarantine" [FileName]

Жмем OK. Все, теперь файлы, которые будут скачиваться этой программой, будут проверяться, в дополнение к основному антивирусу, антивирусом ClamWin. Проверить действие антивируса можно, попробовав скачать тестовый вирус eicar со страницы http://www.eicar.org/anti_virus_test_file.htm. Например, eicar.com. При этом этот файл должен будет быть перемещен в директорию "C:Documents and SettingsAll Users.clamwinquarantine". Опции командной строки можете посмотреть через cmd, запустив "clamscan.exe --help". Удалять файл, детектированный как вирус, не обязательно, ведь это может быть ложным срабатываением, ведь вы можете, например, качать RAdmin или, не дай Бог, кряк ;). А эти "господа" вполне могут быть обработаны как вирус.

Ну вот, в кратце, все, всякие нюансы проще смотреть вам самим, т.к. если уж вы читаете эту заметку, то наверняка сами разбираетесь в настройках всяких там программулек :)

PS: К тому же ClamWin можно настроить на периодическую проверку системы, на проверку почты в Outlook, The Bat (с помощью бесплатного плагина http://mark0.net/plugins-tb-tbclamwin-e.html). Спи спокойно, параноик ;)


Таблица настройки правил брандмауэров

Обновлено: 13.09.2025
Application or Service what is it? TCP UDP _local_ remote dire-ction _зачем_? Specific rules, ICMP
DHCP Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров UDP 68 67 both settings request +answer  
DNS Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)		 TCP, UDP 1024-5000 53 both IP request + response  
ntoskrnl .exe Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки TCP
UDP		 1024..5000
137. 138		 139
137. 138		 out
both		 NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe оно же через CIFS (Common Internet File System) TCP, UDP 445 445 both win2k+ аналог NetBIOS/TCP поправьте меня, если я не прав
browser IE, Opera, Mozilla TCP 1024..5000 80, 443, 8080, 8100 out http(s) web-servers      
FTP-clients active mode TCP
TCP		 1024-5000
1024-5000		 20
21		 in
out		 data transmission
ftp requests		  
FTP-clients passive mode. Соединения для данных инициируются клиентом TCP 1024-5000 21, 1024-65535 out FTP requests+ transmission  
ICQ internet messenger TCP 1024-5000 443 or 5190 out 443 - с шифрованием можно обозначить IP login.icq.com = 64.12.161.153
IRC internet messenger TCP ?
113		 6660-6670
?		 out
in 		IRC connection
IRC AUTH connection		  
E-mail почтовая программа-клиент (Outlook, The Bat и др.) TCP 1024-5000 25, 110, 143, 993, 995 out 25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3		 comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co файлообменник TCP 4662,4711, 4712
any		 any
1025-65535		 in
out		 response (?)
request (?)		 поправьте меня, если я не прав
Emule & Co файлообменник UDP 4665,4672, 4673
any		 any
1025-65535		 in
out		 response (?)
request (?)		 поправьте меня, если я не прав
Bittorent качалка, hispeed Р2Р, с центральным сервером (трекер) TCP 1024-5000
6881-6889		 any (?)
any (?)		 out
in		 (?)
(?)		  
Radmin Viewer Remote Administrator TCP any 4899 (or server-defined. RTFM) out connect to Radmin-server  
Radmin Server Remote server TCP 4899 (or serv-defined. RTFM) any both connect to client  
Languard & Co сканеры сетей TCP, UDP
UDP		 any
any		 any
any		 out
in		 скан
-		 Allow ICMP out
Novel client NetWare application (инфо) TCP, UDP 1024-65535
427		 524
427		 out
both		 NCP Requests
SLP Requests		  
MSN Windows Messenger TCP 1024-65535 1863,6891-6901 out - Block Incoming Fragment, Block Incoming Conection
Time Sync синхронизация времени UDP 123 123 both - Block incoming fragment
LAST RULE Block any other connection TCP UDP any any any все остальные пусть не лазят в сеть ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

Таблица взята с сайта ru-board. Данные из таблицы могут быть неприемлемыми для вашего брандмауэра по разным соображениям, пожалуйста, старайтесь трезво оценивать ваши потребности и соответсвенным образом настраивать правила :)

Настройка OpenVPN

Обновлено: 30.10.2020
Теги: OpenVPN VPN VPN сервер

Нам надо соединить удаленного сотрудника к рабочей сети. Это делается в том числе с помощью VPN, в нашем случае, OpenVPN. Это бесплатный, достаточно надежный и не очень сложный в настройке сервер и клиент VPN.


OpenVPN - настройка в Windows и Linux

Обновлено: 30.10.2020
Теги: OpenVPN VPN

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой как интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый сетевым адаптером, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.

Это статья старая. Ссылка на актуальную статью по настройке OpenVPN.


Утилита командной строки rundll32.exe

Обновлено: 13.09.2025
Автор: Юрий Березин
Источник: http://www.goldfaq.ru/

Windows имеет в своем составе утилиту командной строки rundll32.exe, которая позволяет запускать некоторые команды-функции, заложенные в DLL-файлах. Вообще-то данная утилита была разработана для внутреннего пользования программистами Microsoft. Но богатые возможности этой программы дало повод на всеобщее использование пользователями. Список команд слишком обширен.

Приведем список наиболее значимых команд (в котором найдете ОЧЕНЬ интересные команды, ну а как их использовать, думайте сами!).

* rundll32 shell32.dll,Control_RunDLL hotplug.dll - диалоговое окно Отключение или извлечение аппаратного устройства

* rundll32 diskcopy,DiskCopyRunDll - вызов диалога "Копирование диска".

* rundll32 keyboard,disable - отключение клавиатуры, действует до следующей перезагрузки.

* rundll32 mouse,disable - отключение мыши вплоть до перезагрузки.

* rundll32 krnl386.exe,exitkernel - выгрузить ядро системы, выход из Windows.

* rundll32 mshtml.dll,PrintHTML "HtmlFileNameAndPath" - распечатать документ HTML, где "HtmlFileNameAndPath" - путь к файлу и его имя.

* rundll32 мсprint2.dll,RUNDLL_PrintTestPage - распечатать тестовую страницу на принтере.

* rundll32 netplwiz.dll,AddNetPlaceRunDll - вызов мастера подключения нового сетевого ресурса "Добавление в сетевое окружение".

* rundll32 rnaui.dll,RnaWizard - вызов мастера "Удаленный доступ к сети".

* rundll32 rnaui.dll,RnaWizard /1 - вызов мастера "Удаленный доступ к сети" без отображения начального окна.

* rundll32 shell,ShellExecute - открыть Проводник (папка "Рабочий стол").

* rundll32 shell32,Control_RunDLL - открыть в Проводнике папку "Панель управления".

* rundll32 shell32,Control_RunDLL appwiz.cpl,,n - вызов диалогового окна "Установка и удаление программ", в котором будет открыта вкладка с номером "n" (от 1 до 3).

* rundll32 shell32,Control_RunDLL main.cpl @0 - открыть диалог "Свойства мыши".

* rundll32 shell32,Control_RunDLL main.cpl @1 - открыть диалог "Свойства клавиатуры".

* rundll32 shell32,Control_RunDLL main.cpl @2 - открыть папку "Принтеры".

* rundll32 SHELL32,SHHelpShortcuts_RunDLL PrintersFolder - открыть папку "Принтеры" (другой способ).

* rundll32 shell32,Control_RunDLL main.cpl @3 - открыть папку "Шрифты".

* rundll32 SHELL32,SHHelpShortcuts_RunDLL FontsFolder - открыть папку "Шрифты" (другой способ).

* rundll32 SHELL32,Control_RunDLL modem.cpl, add - открыть диалог "Свойства модема".

* rundll32 shell32,Control_RunDLL timedate.cpl - открыть диалог "Дата и время".

* rundll32 shell32,OpenAs_RunDLL - вызвать диалог "Открыть с помощью...".

* rundll32 shell32,ShellAboutA WINHOWTO.RU - информация о версии Windows.

* rundll32 shell32,SHExitWindowsEx 0 - закрыть все программы, перегрузить оболочку.

* rundll32 shell32, SHExitWindowsEx 1 - выключить ПК.

* rundll32 SHELL32, SHExitWindowsEx -1 - перегрузить оболочку Windows.

* rundll32 shell32, SHExitWindowsEx 2 - перегрузить ПК.

* rundll32 shell32,SHExitWindowsEx 4 - принудительно закрыть все программы.

* rundll32 shell32,SHExitWindowsEx 8 - выход из Windows и выключение ATX-совместимого ПК.

* rundll32 shell32,SHFormatDrive - вызов диалога форматирования диска А:.

* rundll32 SHELL32,SHHelpShortcuts_RunDLL AddPrinter - запуск "Мастера установки принтера".

* rundll32 shell32,SHHelpShortcuts_RunDLL Connect - запуск мастера подключения сетевого диска.

* rundll32 SHELL32,SHHelpShortcuts_RunDLL PrintTestPage - распечатать тестовую страницу.

* rundll32 sysdm.cpl,InstallDevice_Rundll - вызов мастера установки оборудования.

* rundll32 url.dll,FileProtocolHandler %1 - открыть веб-страницу, где %1 - URL сайта (включая http://).

* rundll32 url.dll,MailToProtocolHandler %1 - создать новое письмо, где %1 - e-mail адресата.

* rundll32 user,CASCADECHILDWINDOWS - расположить все окна каскадом.

* rundll32 user,TILECHILDWINDOWS - расположить все окна по экрану.

* rundll32 user,disableoemlayer - сбой системы (!) - выключить все функции ввода-вывода

(клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать.

* rundll32 user,ExitWindowsExec - быстрая перезагрузка Windows.

* rundll32 user,RepaintScreen - выполнить команду "Обновить".

* rundll32 user,SetCaretBlinkTime n - задать частоту мигания курсора, соответствующую значению параметра n.

* rundll32 user,SetCursorPos - переместить курсор мыши в верхний левый угол экрана.

* rundll32 user,SetDoubleClickTime n - задать скорость двойного нажатия левой кнопки мыши (Double Click), соответствующую параметру n.

* rundll32 user,SwapMouseButton - поменять местами клавиши мыши (обратная смена невозможна).

* rundll32 user,WNetConnectDialog - вызов диалога "Подключение сетевого диска".

* rundll32 user,WNetDisconnectDialog - вызов диалога "Отключение сетевого диска".

* rundll32 AppWiz.Cpl,NewLinkHere %1 - запуск мастера создания нового ярлыка, где %1 - путь к исходному файлу.

Некоторые из этих команд пригодились мне, когда обновлял Internet Explorer до версии 7 на Windows XP, при этом произошел какой-то сбой и в систему мне войти не удавалось, но можно было через три клавиши запускать приложения и программы из командной строки. Пригодилась команда "rundll32 shell32,Control_RunDLL appwiz.cpl,,n" - вызов диалогового окна "Установка и удаление программ". Я просто удалил IE7 и все заработало как и было. Это я привел пример моего конкретного случая, у вас их может быть гораздо больше. Удачи и не бойтесь консоли, она приятная на ощупь, вся до последней клавиши!

Источник: http://www.diwaxx.ru/win/rundll32.php

Миграция с sendmail на exim + saslauthd

Обновлено: 13.09.2025
Теги: sendmail Почтовый сервер

Переход с sendmail на exim трудностей вызывать не должен. Общие рекомендации - сделать бэкап юзерской почты, находящейся в /var/mail/.

В данном случае, рассматривается вариант миграции с использованием системных пользователей, как оно обычно и бывает. Ибо если вы докатились до sendmail и LDAP, например, то он вам явно вштырил, и необходимости в миграции у вас нет. Для авторизации отправителей будем использовать saslauthd.

Итак, добавляем такие строки в файл /etc/make.conf:

# директория с портами
  PORTSDIR?=      /usr/ports
  # EXIM
  .if ${.CURDIR} == ${PORTSDIR}/mail/exim
  # MySQL затем, если будуте окончательно уходить от системных пользователей,
  # чтобы не пересобирать exim ещё раз.
  WITH_MYSQL=             yes
  LOG_FILE_PATH?=         syslog
  WITH_CONTENT_SCAN=      yes
  WITH_DEFAULT_CHARSET?=  koi8-r
  WITHOUT_IPV6=           yes
  WITH_BDB_VER?=          4
  WITH_SASLAUTHD=         yes
  .endif

После чего обновляем порты, и устанавливаем exim:

/usr/home/lissyara/>cd /usr/ports/mail/exim
  /usr/ports/mail/exim/>make && make install && make clean

Следом, ставим ClamAV, если он у вас не стоит:

/usr/ports/mail/exim/>cd ../../security/clamav
  /usr/ports/security/clamav/>make && make install && make clean

Вылазиет синенькое окошко, где ничё не надо выбирать. После установки, топаем править файл /etc/mail/mailer.conf до такого состояния:

sendmail        /usr/local/sbin/exim
  send-mail       /usr/local/sbin/exim
  mailq           /usr/local/sbin/exim -bp
  newaliases      /usr/local/sbin/exim -bi
  hoststat        /usr/local/sbin/exim
  purgestat       /usr/local/sbin/exim

После чего рихтуем конфиг exim:

#!/bin/sh
  # моя конфига экзма. Будь проклят тот день,
  # когда мне пришла в голову мысль подписать
  # русские поясния ко всем пунктам! :) Хоть и
  # делал я это в первую очередь для себя -
  # чтоб лучше понять его, но работа эта оказалась
  # слишком масштабная и неблагодарная...
  
  
  # Имя хоста. Используется в EHLO.
  # Фигурирует в других пунктах, если они не заданы -
  # типа qualify_domain и прочих..
  # Если тут ничё не установлено (строка закомметрована)
  # то используется то, что вернёт функция uname()
  primary_hostname = mx.lissyara.su
  
  # Делаем список локальных доменов. Далее этот
  # список будет фигурировать в виде +local_domains
  # Mожно их просто перечислить через двоеточие. Есть интересная
  # возможность, можно указать юзер@[хост] - lissyara@[222.222.4.5]
  domainlist local_domains = @
  
  # делаем список доменов с которых разрешены релеи.
  # Далее этот список будет в виде +relay_to_domains
  # Можно использовать символы подстановки, типа:
  # .... = *.my.domen.su : !spam.my.domen.su : first.su
  # тогда пропускается всё, что похоже на *.my.domen.su, но
  # от spam.my.domen.su релеится почта не будет.
  domainlist relay_to_domains =
  
  # Составляем список хостов с которых разрешён неавторизованый
  # релей. Обычно в нём находятся локальные сети, и локалхост...
  # ЛокалХост в двух видах был внесён сознательно - пару раз
  # сталкивался с кривым файлом /etc/hosts - результатом было
  # непонимание `localhost` но пониманием 127.0.0.1/8
  hostlist   relay_from_hosts = localhost:127.0.0.0/8:192.168.0.0/16
  
  # Вводим названия acl`ов для проверки почты. (В общем-то, это
  # необязательно, если вы делаете открытый релей, или хотите
  # принимать вообще всю почту с любого хоста для любых
  # получателей... Тока потом не жалуйтесь что у Вас спам
  # и провайдер выкатывает немеряный счёт :))
  acl_smtp_rcpt = acl_check_rcpt
  acl_smtp_data = acl_check_data
  
  # Прикручиваем антивирус - при условии, что exim собран
  # с его поддержкой. В качестве антивиря юзаем ClamAV,
  # ибо - ПО должно быть свободным! :)
  # Итак, указываем местоположение сокета clamd.
  av_scanner = clamd:/var/run/clamav/clamd
  
  # Адрес куда слать на проверку спама (SpamAssasin), но я
  # это не юзаю. Не так много у меня спама...
  # spamd_address = 127.0.0.1 783
  
  # Имя домена добавляемое для локальных отправителей (реальных
  # юзеров системы) т.е. почта отправляемая от root, будет от
  # root@домен_указанный_здесь. Если пункт незадан, то используется
  # имя хоста из `primary_hostname`. Логичней было бы написать здесь
  # lissyara.su, но мне удобней иначе:
  qualify_domain = mx.lissyara.su
  
  # Имя хоста для ситуации, обратной предыдущей, - это имя домена
  # добавляемое к почте для системных юзеров, ну и вообще для почты
  # пришедшей на адрес типа `root`, `lissyara`, & etc... Если этот
  # пункт незадан то используется значение полученное из
  # предыдущего пункта - `qualify_domain`
  qualify_recipient = mx.lissyara.su
  
  # А это как раз кусок вышеописанного анахронизма - про почту в
  # виде user@[222.222.222.222] - принимать её или нет. По дефолту
  # (когда строка закомментирована) значение - false. Если захотите
  # поставить true то надо будет добавить в список доменов
  # комбинацию @[] - она означает `все локальные адреса`
  allow_domain_literals = false
  
  # Пользователь от которого работает exim
  exim_user = mailnull
  
  # группа в кторой работает exim
  exim_group = mail
  
  # запрещаем работу доставки под юзером root - в целях безопасности
  never_users = root
  
  # Проверяем соответствие прямой и обратной зон для всех хостов.
  # Тока зачем это нужно - даже и незнаю... Спам на этом не режется...
  # Зато возможны проблемы - если сервер зоны скажет `сервер файлед`
  # то почту от этого хоста Вы не получите :)
  #host_lookup = *
  
  # Тоже анахронизм (на самом деле, не такой уж анахронизм, но все давно
  # забили на ident и закрыли файрволлом tcp:113...) Это проверка - Ваш
  # хост спрашивает у удалённого, с которого было подключение, а кто
  # собстно ко мне подключился на такой-то порт? Если на удалённом хосте
  # работает identd - он может ответить (а может и не ответить - как
  # настроить), скажет UID пользователя от которого установлено
  # соединение, тип ОС, и имя пользователя. Теперь, понимаете, почему
  # у всех оно зарублено и файрволлами позакрыто? :) Это же палево :)
  # Тока на мой взгляд, если на сервере всё настроено правильно -
  # то вовсе это и не страшно.
  # Короче - если хостс поставить * то будет проверять все. Таймаут -
  # если поставить 0 то не будет ждать ответа ни от кого. По
  # вышеописанным причинам - отключаем
  #rfc1413_hosts = *
  rfc1413_query_timeout = 0s
  
  # По дефолту, экзим отфутболивает все `неквалифицированные` адреса,
  # состоящие тока из локальной части. Для того чтобы разрешить такие письма
  # определённых хостов используются эти директивы:
  # для `неквалифицированных` отправителей
  sender_unqualified_hosts = +relay_from_hosts
  # для `неквалифицированных` получателей
  recipient_unqualified_hosts = +relay_from_hosts
  
  # Интересный пункт, тока я не вполне понимаю его логику.
  # Позволяет выполнять что-то типа - пришло сообщение на
  # локальный ящик user%test.su@lissyara.su и
  # переправляет его на user@test.su. Делается это для
  # перечисленного списка доменов (* - все):
  # percent_hack_domains = *
  
  # Если сообщение было недоставлено, то генерится соощение
  # об ошибке. Если сообщение об ошибке не удалось доставить
  # то оно замораживается на указанный в этом пункте срок,
  # после чего снова попытка доставить его. При очередной
  # неудаче - сообщение удаляется.
  ignore_bounce_errors_after = 45m
  
  # Замороженные сообщения, находящиеся в очереди, дольше
  # указанного времени удаляются и генерится сообщение
  # об ошибке (при условии, что это не было недоставленное
  # сообщение об ошибке :))
  timeout_frozen_after = 15d
  
  # собсно на этом штатный конфиг кончился, но
  # меня-то это не устраивает... Поэтому пошли пункты,
  # почёрпнутые из других источников.
  
  # список адресов, через запятую, на которые засылаются
  # сообщения о замороженных сообщениях (о замороженых
  # уведомлениях о заморозке, сообщения не генерятся. - я
  # надеюсь эта строка понятна :))
  #freeze_tell = admin@lissyara.su
  
  # Список хостов, почта от которых принимается, несмотря
  # на ошибки в HELO/EHLO (тут указана моя подсеть)
  helo_accept_junk_hosts = 192.168.0.0/16
  
  # Через какое время повторять попытку доставки
  # замороженного сообщения
  auto_thaw = 1h
  
  # Приветствие сервера
  smtp_banner = "$primary_hostname, ESMTP EXIM $version_number"
  
  # Максимальное число одновременных подключений по
  # SMTP. Рассчитывать надо исходя из нагрузки на сервер
  smtp_accept_max = 50
  
  # максимальное число сообщений принимаемое за одно соединение
  # от удалённого сервера (или пользователя). C числом 25
  # я имел проблемы тока один раз - когда у меня три дня лежал
  # инет и после его подъёма попёрли мессаги. Но у меня не так
  # много почты - всего 30 пользователей.
  smtp_accept_max_per_connection = 25
  
  # чё-то про логи и борьбу с флудом - я так понимаю -
  # максимальное число сообщений записываемых в логи
  smtp_connect_backlog = 30
  
  # максимальное число коннектов с одного хоста
  smtp_accept_max_per_host = 20
  
  # Ход ладьёй - для увеличения производительности,
  # директория `spool` внутри, разбивается на
  # директории - это ускоряет обработку
  split_spool_directory = true
  
  # Если у сообщения много адресатов на удалённых хостах,
  # то запускатеся до указанного числа максимально число
  # параллельных процессов доставки
  remote_max_parallel = 15
  
  # при генерации сообщения об ошибке прикладывать
  # не всё сообщение, а кусок (от начала) указанного
  # размера (иногда полезно и целиком - в таком случае
  # просто закомментируйте эту строку)
  return_size_limit = 70k
  
  # размер сообщения. У меня стоит относительно большой
  # размер (`относительно` - потому, что на большинстве
  # хостов оно ограничено 2-5-10мб, либо стоит анлим.)
  message_size_limit = 64M
  
  # разрешаем неположенные символы в HELO (столкнулся
  # с этим случайно - имя фирмы состояло из двух слов
  # и какой-то раздолбай домен обозвал my_firme_name
  # прям с подчёркиваниями... Виндовые клиенты при
  # соединении радостно рапортовали о себе
  # `vasya.my_firme_name` ну а экзим их футболил :))
  helo_allow_chars = _
  
  # Принудительная синхронизация. Если отправитель
  # торопится подавать команды, не дождавшись ответа,
  # то он посылается далеко и надолго :) Немного,
  # спам режется.
  smtp_enforce_sync = true
  
  # Выбираем, что мы будем логировать
  # + - писать в логи,
  # - - Не писать в логи.
  # +all_parents - все входящие?
  # +connection_reject - разорваные соединения
  # +incoming_interface - интерфейс (реально - IP)
  # +lost_incoming_connections - потеряные входящие
  # соединения
  # +received_sender - отправитель
  # +received_recipients - получатель
  # +smtp_confirmation - подтверждения SMTP?
  # +smtp_syntax_error - ошибки синтаксиса SMTP
  # +smtp_protocol_error - ошибки протокола SMTP
  # -queue_run - работа очереди (замороженные мессаги)
  log_selector = 
      +all_parents 
      +connection_reject 
      +incoming_interface 
      +lost_incoming_connection 
      +received_sender 
      +received_recipients 
      +smtp_confirmation 
      +smtp_syntax_error 
      +smtp_protocol_error 
      -queue_run
  
  # Убираем собственную временную метку exim`a из логов, её ставит
  # сам syslogd - нефига дублировать
  syslog_timestamp = no
  
  
  
  ### конфигурация ACL для входящей почты
  begin acl
  
  # Эти правила срабатывают для каждого получателя
  acl_check_rcpt:
  
  
    # принимать сообщения которые пришли с локалхоста,
    # не по TCP/IP
    accept  hosts = :
  
    # Запрещаем письма содержащие в локальной части
    # символы @; %; !; /; |. Учтите, если у вас было
    # `percent_hack_domains` то % надо убрать.
    # Проверяются локальные домены
    deny    message       = "incorrect symbol in address"
            domains       = +local_domains
            local_parts   = ^[.] : ^.*[@%!/|]
  
    # Проверяем недопустимые символы для
    # нелокальных получателей:
    deny    message       = "incorrect symbol in address"
            domains       = !+local_domains
            local_parts   = ^[./|] : ^.*[@%!] : ^.*/\.\./
  
    # Принимаем почту для постмастеров локальных доменов без
    # проверки отправителя (я закомментировал, т.к. это -
    # основной источник спама с мой ящик).
  
    accept  local_parts   = postmaster
            domains       = +local_domains
  
    # Запрещщаем, если невозможно проверить отправителя
    # (отсутствует в списке локальных пользователей)
    # У себя я это закоментил, по причине, что некоторые
    # железяки (принтеры, & etc) и программы (Касперский, DrWEB)
    # умеют слать почту, в случае проблем но не умеют ставить
    # нужного отправителя. Такие письма эта проверка не пускает.
  #  require verify        = sender
  
    # Запрещщаем тех, кто не обменивается приветственными
    # сообщениями (HELO/EHLO)
    deny    message       = "HELO/EHLO require by SMTP RFC"
            condition     = ${if eq{$sender_helo_name}{}{yes}{no}}
  
    # Принимаем сообщения от тех, кто аутентифицировался:
    # Вообще, большинство конфигов в рунете - это один и тот же
    # конфиг написанный Ginger, в котором этот пункт расположен
    # внизу. Но при таком расположении рубятся клиенты с adsl,
    # ppp, и прочие зарезанные на последующих проверках. Но это
    # жа неправильно! Этом мои пользователи из дома! Потому
    # я это правило расположил до проверок.
    accept  authenticated = *
  
  # Рубаем нах, тех, кто подставляет свой IP в HELO
    deny    message       = "Your IP in HELO - access denied!"
            hosts         =  * : !+relay_from_hosts : !81-196.lissyara.su
            condition     = ${if eq{$sender_helo_name}
      {$sender_host_address}{true}{false}}
  
  
  # Рубаем тех, кто в HELO пихает мой IP (2500 мудаков за месяц!)
    deny    condition     = ${if eq{$sender_helo_name}
      {$interface_address}{yes}{no}}
            hosts         = !127.0.0.1 : !localhost : *
            message       = "main IP in your HELO! Access denied!"
  
  # Рубаем тех, кто в HELO пихает только цифры
  # (не бывает хостов ТОЛЬКО из цифр)
    deny    condition     = ${if match{$sender_helo_name}
      {N^d+$N}{yes}{no}}
            hosts         = !127.0.0.1 : !localhost : *
            message       = "can not be only number in HELO!"
  
  # Рубаем тех, кто не пишет отправителя
  #  deny    condition     = ${if eq{$sender_address}{}{yes}{no}}
  #          hosts         = !127.0.0.1 : !localhost : *
  #          message       = "А какого HELO пустое?! Не по RFC..."
  
  ## Рубаем тех, кто не пишет отправителя (пробел)
  #  deny    condition     = ${if match{$sender_address}{N^s+$N}{yes}{no}}
  #          hosts         = !127.0.0.1 : !localhost : *
  #          message       = "А какого HELO пустое (тока пробелы)?! Не по RFC..."
  
  # Рубаем тех, кто не пишет отправителя
  #  deny    condition     = ${if eq{$sender_address}{}{yes}{no}}
  #          hosts         = !127.0.0.1 : !localhost : *
  #          message       = "Where sender of this mail?!"
  
    # Рубаем хосты типа *adsl*; *dialup*; *pool*;....
    # Нормальные люди с таких не пишут. Если будут
    # проблемы - уберёте проблемный пункт (у меня клиенты
    # имеют запись типа asdl-1233.zone.su - я ADSL убрал...)
    deny    message       = "your hostname is bad (adsl, poll, ppp & etc)."
            condition     = ${if match{$sender_host_name} 
                                 {adsl|dialup|pool|peer|dhcp} 
                                 {yes}{no}}
  
    # Задержка. (это такой метод борьбы со спамом,
    # основанный на принципе его рассылки) На этом рубается
    # почти весь спам. Единственно - метод неприменим на
    # реально загруженных MTA - т.к. в результате ему
    # приходится держать много открытых соединений.
    # но на офисе в сотню-две человек - шикарный метод.
    #
    # более сложный вариант, смотрите в статье по exim и
    # курьер имап. Т.к. там метод боле умный (просто правил
    # больше :), то можно и на более загруженные сервера ставить)
    warn
          # ставим дефолтовую задержку в 20 секунд
          set acl_m0 = 30s
    warn
          # ставим задержку в 0 секунд своим хостам и
          # дружественным сетям (соседняя контора :))
          hosts = +relay_from_hosts:213.234.195.224/28:80.253.9.18/32
          set acl_m0 = 0s
    warn
          # пишем в логи задержку (если оно вам надо)
          logwrite = Delay $acl_m0 for $sender_host_name 
  [$sender_host_address] with HELO=$sender_helo_name. Mail 
  from $sender_address to $local_part@$domain.
          delay = $acl_m0
  
  
    # Проверка получателя в локальных доменах.
    # Если не проходит, то проверяется следующий ACL,
    # и если непрошёл и там - deny
    accept  domains       = +local_domains
            endpass
            message       = "In my mailserver not stored this user"
            verify        = recipient
  
    # Проверяем получателя в релейных доменах
    # Опять-таки если не проходит -> следующий ACL,
    # и если непрошёл и там - deny
    accept  domains       = +relay_to_domains
            endpass
            message       = "main server not know how relay to this address"
            verify        = recipient
  
    # Рубаем тех, кто в блэк-листах. Серваки перебираются
    # сверху вниз, если не хост не найден на первом, то
    # запрашивается второй, и т.д. Если не найден ни в одном
    # из списка - то почта пропускается.
    deny    message       = "you in blacklist - $dnslist_domain --> $dnslist_text"
            dnslists      = opm.blitzed.org : 
                            cbl.abuseat.org : 
                            bl.csma.biz
  
    # Разрешаем почту от доменов в списке relay_from_hosts
    accept  hosts         = +relay_from_hosts
  
    # Если неподошло ни одно правило - чувак явно ищет
    # открытый релей. Пшёл прочь. :)
    deny    message       = "relay not permitted"
  
  
  
  
  # Тут идут ACL проверяющие содержимое (тело) письма.
  # Без них будут пропускаться все сообщения.
  
  acl_check_data:
  
    # Проверяем письмо на вирусы
    deny malware = *
    message = "In e-mail found VIRUS - $malware_name"
  
    # Если есть необходимость - тут проверки на спам
  
    # Пропускаем остальное
    accept
  
  
  # чё делаем с почтой
  begin routers
  
  # Поиск маршрута к хосту в DNS. Если маршрут не найден в DNS -
  # то это `унроутабле аддресс`. Не проверяются локальные
  # домены, 0.0.0.0 и 127.0.0.0/8
  dnslookup:
    driver = dnslookup
    domains = ! +local_domains
    transport = remote_smtp
    ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
    no_more
  
  # В качестве файла альясов используется стандартный файл альясов.
  # Ребилдить БД командой newaliases не надо - т.к. в данном случае
  # используется не БД а именно текстовый файл.
  system_aliases:
    driver = redirect
    allow_fail
    allow_defer
    data = ${lookup{$local_part}lsearch{/etc/aliases}}
    user = mailnull
    group = mail
    file_transport = address_file
    pipe_transport = address_pipe
  
  # Это специфический транспорт для адресов сгенерённых форвардингом для
  # доставки в файл, pipe или для авто-ответов... Используется файло в
  # хомяке, для перенаправления почты... Надо сразу заметить, что если
  # системные юзеры используются без хомяков (указана несуществующая
  # директория), то придётся её создать, пустую, т.к. экзим начинает
  # искать файл в директории которой нет, и в итоге - ругань в логах
  # и недоставленные письма.
  userforward:
    driver = redirect
    check_local_user
  # local_part_suffix = +* : -*
  # local_part_suffix_optional
    file = $home/.forward
  # allow_filter
    no_verify
    no_expn
    check_ancestor
    file_transport = address_file
    pipe_transport = address_pipe
    reply_transport = address_reply
    condition = ${if exists{$home/.forward} {yes} {no} }
  
  
  # Этот роутер проверяет локальный юзер или нет. Если в нём будет
  # ошибка (юзер не найден) то он выдаст мессагу "Unknown user".
  localuser:
    driver = accept
    check_local_user
  # local_part_suffix = +* : -*
  # local_part_suffix_optional
    transport = local_delivery
    cannot_route_message = Unknown user
  
  # начинаются транспорты - как доставляем почту
  begin transports
  
  # Доставка на удалённые хосты - по SMTP
  remote_smtp:
    driver = smtp
  
  # Транспорт для доставки почты локальным адресатам.
  # Доставляем туда же, куда и sendmail - в файл, в диреткории /var/mail/
  local_delivery:
    driver = appendfile
    file = /var/mail/$local_part
    delivery_date_add
    envelope_to_add
    return_path_add
    group = mail
    user = $local_part
    mode = 0660
    no_mode_fail_narrower
  
  
  # Это транспорт для доставки через трубу по адресам сгенерённым
  # форвардингом или альясингом. Если эта pipe генерит стандартный вывод,
  # возвращается отправителью с руганью в виде этого вывода. Установив
  # return_fail_output вместо return_output можно добиться чтобы отлупы
  # шли тока в случае ошибок, а не просто ругани.
  address_pipe:
    driver = pipe
    return_output
  
  # Транспорт для доставки сгенерённой альясингом или форвардингом.
  address_file:
    driver = appendfile
    delivery_date_add
    envelope_to_add
    return_path_add
  
  # Транспорт для автоответов
  address_reply:
    driver = autoreply
  
  
  # Начинаются повторы недоставленных писем.
  begin retry
  
  # Этот кусок я не трогал. Думаю разработчики лучше знают,
  # какие тут должны быть цифирьки. Если же вы это знаете
  # лучше их - меняйте. Хотя... А какого, если Вы такой
  # умный, читаете этот мануал? Может ну, их, цифирьки, а? :)
  # Address or Domain  Error   Retries
  # -----------------  -----   -------
  *                    *       F,2h,15m; G,16h,1h,1.5; F,4d,6h
  
  
  # преобразование адресов. У меня такого нету.
  begin rewrite
  
  
  # Секция авторизации при отправке писем. Ввиду того,
  # что почтовых клиентов много, и все всё делают
  # по-своему, то и механизмов авторизации три...
  begin authenticators
  
  # следующие два пункта написаны мною, и ручаться могу тока за один - который
  # оутлук авторизует. 
  plain:
    driver = plaintext
    public_name = PLAIN
    server_condition = ${if saslauthd{{$1}{$2}}{1}{0}}
    server_set_id = $2
  
  login:
    driver = plaintext
    public_name = LOGIN
    server_prompts = "Username:: : Password::"
    server_condition = ${if saslauthd{{$1}{$2}}{1}{0}}
    server_set_id = $1
  
  # есть ещё така хрень - но она тока для нешифрованных паролей.
  # А системные - зашифрованы. Летучая мышь - пролетает...
  #cram_md5:
  #  driver = cram_md5
  #  public_name = CRAM-MD5
  #  server_secret = "тут кондишен :)"
  #  server_set_id = $1

Ну а затем запускаем exim, и убиваем sendmail:

/usr/home/lissyara/>echo 'exim_enable="YES"' >> /etc/rc.conf
  /usr/home/lissyara/>killall -9 sendmail
  /usr/home/lissyara/>killall -9 sendmail
  No matching processes were found
  /usr/home/lissyara/>echo 'saslauthd_enable="YES"' >> /etc/rc.conf
  /usr/home/lissyara/>/usr/local/etc/rc.d/saslauthd.sh start
  Starting saslauthd.
  /usr/home/lissyara/>/usr/local/etc/rc.d/exim.sh start
  /usr/local/etc/rc.d/exim.sh: WARNING: sendmail_submit_enable should be set to NO
  Starting exim.
  /usr/home/lissyara/>echo 'sendmail_enable="NONE"' >>  /etc/rc.conf
  /usr/home/lissyara/>/usr/local/etc/rc.d/exim.sh restart
  Stopping exim.
  Starting exim.
  /usr/home/lissyara/>ps -axj | grep exim
  root     65416     1 65416 65416    0 Ss    ??    0:00,03 /usr/local/sbin/exim
  root     65419   573 65418   569    2 R+    p0    0:00,02 grep exim
  /usr/home/lissyara/>
  /usr/home/lissyara/>sockstat | grep sasl
  root     saslauthd  62189 3  dgram  -> /var/run/logpriv
  root     saslauthd  62189 5  stream /var/run/saslauthd/mux
  root     saslauthd  62188 3  dgram  -> /var/run/logpriv
  root     saslauthd  62188 5  stream /var/run/saslauthd/mux
  root     saslauthd  62187 3  dgram  -> /var/run/logpriv
  root     saslauthd  62187 5  stream /var/run/saslauthd/mux
  root     saslauthd  62186 3  dgram  -> /var/run/logpriv
  root     saslauthd  62186 5  stream /var/run/saslauthd/mux
  root     saslauthd  62185 3  dgram  -> /var/run/logpriv
  root     saslauthd  62185 5  stream /var/run/saslauthd/mux
  root     saslauthd  20758 3  dgram  -> /var/run/logpriv
  root     saslauthd  20758 5  stream /var/run/saslauthd/mux
  root     saslauthd  20757 3  dgram  -> /var/run/logpriv
  root     saslauthd  20757 5  stream /var/run/saslauthd/mux
  root     saslauthd  20756 3  dgram  -> /var/run/logpriv
  root     saslauthd  20756 5  stream /var/run/saslauthd/mux
  root     saslauthd  20755 3  dgram  -> /var/run/logpriv
  root     saslauthd  20755 5  stream /var/run/saslauthd/mux
  root     saslauthd  20754 3  dgram  -> /var/run/logpriv
  root     saslauthd  20754 5  stream /var/run/saslauthd/mux
  /usr/home/lissyara/>

Затем запускаем ClamAV и его обновлялку:

/usr/home/lissyara/>echo 'clamav_clamd_enable="YES"' >> /etc/rc.conf
  /usr/home/lissyara/>echo 'clamav_freshclam_enable="YES"' >> /etc/rc.conf
  /usr/home/lissyara/>/usr/local/etc/rc.d/clamav-clamd.sh start
  Starting clamav_clamd.
  LibClamAV Warning: **************************************************
  LibClamAV Warning: ***  The virus database is older than 7 days.  ***
  LibClamAV Warning: ***        Please update it IMMEDIATELY!       ***
  LibClamAV Warning: **************************************************
  /usr/home/lissyara/>/usr/local/etc/rc.d/clamav-freshclam.sh  start
  Starting clamav_freshclam.
  /usr/home/lissyara/>

Собственно вот и всё. Конфиг самого экзима практически аналогичен тому, что используется в статье про exim и системных пользователей. При желании, в дальнейшем, можно извернуться и использовать и системных и виртуальных пользователей - не так сильно всё усложниться.

Автор: http://www.lissyara.ru

Настройка VPN через SSH с использованием Putty

Обновлено: 13.09.2025
Теги: VPN

Дата последнего редактирования: 22.11.2011.

Сегодня пришлось вспоминать минут 20 как сделать сабж, попарился и решил написать на сайт, для себя как памятку и для других - вдруг кому пригодиться.

Итак, имеем:

  1. компьютер на базе Windows (удаленная рабочая станция, условно КЛИЕНТ);
  2. почтовый сервер (не важно, какой именно, будь то Kerio MailServer, MDaemon или другой, условно СЕРВЕР_ПОЧТЫ в локальной сети - ну предположим, что вам надо с ним работать, а просто так локальный почтовый сервер в мир не подключен);
  3. шлюз (прокси-сервер) в интернет с запущенным сервером SSH (например, FreeBSD или Linux, которые во многих организациях стоят как брандмауэры, условно БРАНДМАУЭР).

Задача: осуществить безопасное (шифрованное) соединение от КЛИЕНТА к СЕРВЕРУ_ПОЧТЫ по протоколу POP3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный VPN-сервер).

Безопасный VPN-туннель с использованием SSH и Putty

Решение

Т.к. по умолчанию трафик по протоколу POP3 передается открытым текстом, а мы передаем очень секретный пароль от почтового ящика, то почтовый трафик надо шифровать :) Чем мы будем его шифровать? Поднимать специальный VPN-сервер, редирект портов, настраивать сертификаты и прочее - часто не выход, т.к. это сложно даже для большинства системных администраторов, к тому же, как сказано чуть выше, нам все это надо для периодических сеансов работы, возможно, только для нас и нужных ;)

Мы будем делать соединение между КЛИЕНТОМ и СЕРВЕРОМ_ПОЧТЫ внутри шифрованного содинения по протоколу ssh.

Возьмем бесплатный клиент ssh для Windows - Putty - и установим его на КЛИЕНТА (т.е. на наш домашний компьютер).

Командная строка Putty

Далее установим зашифрованное соединение между КЛИЕНТОМ и БРАНДМАУЭРОМ так, чтобы для КЛИЕНТА работа с почтой внутри локальной сети была бы точно такой, как если бы он (клиент) был бы у себя в офисе.

У КЛИЕНТА запускаем консоль: Пуск -> выполнить -> cmd

В консоли набираем команды:

cd путь_к_папке_с_putty
putty.exe -v -ssh -2 -P 22 -C -l user -pw password -L 8110:192.168.1.10:110 81.222.111.10

где "-v" - т.н. verbose режим, с расширенными комментариями, "-ssh -2" - использовать протокол ssh версии 2, "-P 22" - порт, открытый на БРАНДМАУЭРЕ для подключения по ssh, "-C" - использовать сжатие, "-l user" - имя пользователя, который имеет право входить на сервер ssh на БРАНДМАУЭРЕ, "-pw password" - пароль этого пользователя,

далее (я специально сделал отступ от предыдущего текста):
"-L 8110:192.168.1.10:110" - локальный порт, который будет доступен на компьютере КЛИЕНТА, а 192.168.1.10 - локальный ip-адрес почтового сервера внутри организации, 110 - соответственно, порт POP3 на этом сервере;
"81.222.111.10" - внешний ip-адрес БРАНДМАУЭРА, к которому и будет соединяться КЛИЕНТ по ssh с помощью putty.

После набора последней команды:

putty.exe -v -ssh -2 -P 22 -C -l user -pw password -L 8110:192.168.1.10:110 81.222.111.10

откроется окно сеанса связи по протоколу ssh. Все, окно сворачиваем (не закрываем!), и настраиваем нашу почтовую программу на получение почты с адреса localhost и портом 8110, а не 110, который стоит по умолчанию.

Вроде бы все. Во время получения почты почтовая программа будет соединяться с портом 8110, который будет переадресован на удаленный почтовый сервер в офисе, при этом весь трафик соединения будет зашифрован. Завершить сеанс связи можно просто закрыв окно сеанса putty. После этого локальный порт 8110 уже не будет доступен.

... или же все это можно сделать немного проще:

GUI Putty

Для тех, кто пользуется графическим интерфейсом Putty, привожу скриншоты:

  • Source port: 8110 - порт к которому мы будем подключаться на нашей машине.
  • Destination ( [IP:]Port): 192.168.1.10:110 - удаленный почтовый сервер.
  • Нажимаем "Add" ("Добавить"). Думаю, многие могут не сделать этого и будут разочарованы, т.к. ничего не сработает.

Суть последнего скриншота: локальный порт 8110 прозрачно соединяет вас с 80 портом сервера 192.168.1.10.

Ну и, понятное дело, чтобы это не вписывать каждый раз, ПЕРЕД ТЕМ, КАК НАЖАТЬ "Open", вернитесь на вкладку Session (первый скриншот) и сохраните настройки. Только потом жмите "Open".

Резюме

Можно добавить, что похожим образом можно соединяться не только к почтовому серверу, но и к другим сервисам, например, я таким образом соединялся с RAdmin, установленным на компьютере в локальной сети, при этом никаких port-мапперов на самом шлюзе делать не надо. Вот что самое хорошее! Достаточно иметь актуальную версию сервера ssh на шлюзе и, желательно, фильтровать на брандмауэре подключения к порту 22 (ssh), например по ip-адресу, если у вас дома или где там еще подключение к интернет постоянное. Но это уже мелочи жизни и тема другой статьи.

Вообще у ssh и putty, есть ооочень много всяких разных приятностей, которые здесь не упомянуты. Надеюсь, эта статья подтолкнет вас к небольшому исседованию, начать которое очень просто: http://www.google.ru/search?complete=1&hl=ru&newwindow=1&q=ssh&lr=&aq=f.

Кроме того, упомянутые в статье программы (за исключением почтовых серверов и ОС самого клиента ;)) являются бесплатными и свободно распространяемыми, а стремление быть легальным и бесплатным - хороший стимул приглядеться к реализации подобного безопасного соединения через ssh.

И еще, конечно же, при написании этой заметки я использовал другие ресурсы для "освежения" памяти. Вот самая полезная ссылка, которая и стала финальной в моих тестовых экспериментах перед опубликованием статьи: http://wiki.kaytaz.ru/doku.php/ssh-tunnel_cherez_putty.

Примечания (составлены по итогам комментариев на 27.03.2008)

1. (isx) Если туннель простаивает некоторое время, то соединение рвется, потому стоит поменять параметры сервера: TCPKeepAlive. Увеличить LoginGraceTime, выставить ClientAliveInterval и ClientAliveCountMax. Убрать UseDns, иначе длительные ожидания при установке соединений.

2. (isx) А отчего не сделаешь все через ssl? Если не хочется возиться с почтовиком, то можно воспользоваться программой stunnel, поднимая ее на шлюзе(брандмауэре). // Stunnel (http://stunnel.mirt.net/) использует OpenSSl или SSLeavy для шифрования трафика. Используется для установления шифрованных тонелей связи между клиентом и сервером. Работает в Linux, Windows, OS/2 и прочих осях.

3. (Serg) Если человек не админ брендмауэра - могут быть проблемы. Кто-то может гарантировать, что в настройках sshd не выключен форвардинг и/или туннелирование? // Действительно, к данному решению надо подходить взвешенно и понимать, что указанный способ туннелирования действительно больше всего подходить только для админа.


Почему плохо работает WiFi

Обновлено: 26.08.2021
Теги: WiFi

Проблем с WiFi может быть настолько много, что перечислить все просто нереально, но все же, есть достаточно очевидные проблемы, которые можно решить или хотя бы улучшить ситуацию с плохим качеством WiFi.


Шифрование GPG (GnuPG, ex PGP)

Обновлено: 28.08.2021
Теги: Шифрование Безопасность Передача данных

Защита конфиденциальной информации периодически востребована всеми, кто пользуется электронной почтой и хранит документы на своем компьютере, т.е. практически каждый современный человек хоть раз, но сталкивался с проблемой защиты передавемых или хранимых данных. GnuPG - это полная и бесплатная реализация стандарта OpenPGP, определенного в RFC4880 (также известном как PGP). GnuPG позволяет вам шифровать и подписывать ваши данные и сообщения; он оснащен универсальной системой управления ключами, а также модулями доступа для всех видов каталогов открытых ключей. GnuPG, также известный как GPG, представляет собой инструмент командной строки с функциями для легкой интеграции с другими приложениями. Доступно множество интерфейсных приложений и библиотек. GnuPG также поддерживает S/MIME и Secure Shell (ssh).


Шифрование PGP

Обновлено: 28.08.2021
Теги: Шифрование

PGP (Pretty Good Privacy) - криптографическое приложение для обеспечения защиты и аутентификации данных. Используя его можно быть уверенным, что никто не сможет прочитать или изменить Вашу информацию. Подробнее о программе и истории ее создания можно прочитать на сервере www.pgpi.org. Защита гарантирует, что только получатель информации сможет воспользоваться ей. Оказавшись в чужих руках, она будет совершенно бесполезной, поскольку ее невозможно декодировать.




Принимаю заказы на настройку серверов, mikrotik и других роутеров, точек доступа, nginx и т.п. В пределах Санкт-Петербурга возможен выезд к заказчику. См. контакты.

Squid 3proxy VPN Шифрование Почтовый сервер Mikrotik Настройка сервера Защита почты Резервное копирование Групповые политики java WDS IPFW SELinux kvm OpenVPN Виртуальные машины libvirt Mobile systemd Samba WiFi firewalld Lightsquid Remote desktop NAT Iptables Нейронные сети python Docker Софт Удаление данных Безопасность Winbox User agent Privacy Онлайн сервисы Передача данных Хостинг Dovecot Postfix VPN сервер RRDTool sendmail Rsync Linux Настройка прокси Система Windows Синхронизация Облако fail2ban SSH LetsEncrypt FreeBSD


Последние комментарии

13.06.2024 09:11 casper200
Спасибо, благодоря приведенной транскрипции, настроил проксю....
29.05.2024 17:36 bzzz
Еще нашел тут, что для парольной защиты (PSK) IPSec Xauth PSK и L2TP IPSec PSK, "Идентификатор IPSec" - это имя пользователя ...
29.05.2024 15:20 bzzz
Не уверен точно, но идентификатор IPSec - возможно, это IP-адрес сервера, или username@1.2.3.4 или FQDN-имя вашего сервера....
27.05.2024 14:55 Zahar
Здравствуйте, в Redmi Note 13 Pro после обновления просит обязательно внести Идентификатор Ipsec. Раньше это было необ...
27.05.2024 13:29 Diana
Здравствуйте
Подскажите. подключение с ПК все работает все ок. Делал по вашей мурзилке.
Но при подключе...
15.02.2024 16:53 Rost
Доброго дня! Проблема как у некоторых людей в комментвриях,что при подключении по VPN вне со снятием галочки &qu...