DSBL - jak sie z tamtąd usunąc

Gość · Wysłany: Wto Kwi 19, 2005 5:27 pm Temat postu: Re: DSBL - jak sie z

19.04.2005 user ksywką tomasz.n nabazgrał(a) na grupę
pl.comp.os.linux.sieci co następuje:
> Witam szanowne forum.
> Jestem bardzo poczatkującym adminem.
> Zrobiliśmy sobie sieć osiedlową i mam problem, jakiś czas temu na forum ktoś
> mi sie wpisał że moj serwer to open proxy - mam squida. A w niedlugo potym
> moi użytkownicy stwierdzili że nie można wysyłać poczty przez WP.PL w
> mailach od WP.PL pisze że moje ip jest na czarnej liście http://dsbl.org
>
> Mogłby mi ktoś powiedzieć jaka jest procedura usunięcia sie z tej listy (nie
> jestem biegły w angielskim)

Najpierw naprawić przyczynę, a później zależy od listy.

> i co powinienem poprawić w konfigu SQUIDa żeby
> nie był open-proxy i co to open_proxy znaczy?
>
Proxy pozwala innym łączyć się przez siebie, co zapewne wiesz. Open
proxy oznacza, że pozwalasz na to każdemu. Może z tego skorzystać na
przykład spamer wysyłając spam w twoim imieniu (dlatego blokują to
serwery pocztowe).

> Ponizej moj konfig squida, dzieki za wyrozumiałośc i podpowiedzi.
>
> ----------------------- squid.conf ----------
>
[...]
>
> acl local src 192.168.0.0/255.255.255.0
> acl all src 0.0.0.0/0.0.0.0
>
> http_access allow local
>
> http_access allow all

Po co dopisałeś tą linijkę? Ona właśnie zezwala każdemu na korzystanie
z proxy. Sugeruję przeczytać dokładnie i ze zrozumieniem całego configa,
to podstawowe zadanie admina.

[...]

Poza tym sugeruję skorzystać z porady zawartej w innym poście i bindować
squida tylko do lokalnych adresów. Dzięki temu z zewnątrz nikt nawet się
nie będzie mógł do niego dostać (po zamianie allow all na deny all
będzie wyświetlał komunikaty o zabronionym dostępie).

--
Linux jest darmowy, jeśli twój czas nie przedstawia żadnej wartości.
Jeśli jest coś warty(czas), Linux jest po prostu tańszy od innych.
Jarek Kamiński
gg# 453620

Gość · Wysłany: Wto Kwi 19, 2005 6:00 pm Temat postu: DSBL - jak sie z tamtąd usunąc

Witam szanowne forum.
Jestem bardzo poczatkującym adminem.
Zrobiliśmy sobie sieć osiedlową i mam problem, jakiś czas temu na forum ktoś
mi sie wpisał że moj serwer to open proxy - mam squida. A w niedlugo potym
moi użytkownicy stwierdzili że nie można wysyłać poczty przez WP.PL w
mailach od WP.PL pisze że moje ip jest na czarnej liście http://dsbl.org

Mogłby mi ktoś powiedzieć jaka jest procedura usunięcia sie z tej listy (nie
jestem biegły w angielskim) i co powinienem poprawić w konfigu SQUIDa żeby
nie był open-proxy i co to open_proxy znaczy?

Ponizej moj konfig squida, dzieki za wyrozumiałośc i podpowiedzi.

----------------------- squid.conf ----------

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 80 MB

maximum_object_size 10 MB

maximum_object_size_in_memory 512 KB

cache_dir diskd /cache 512 16 256 Q1=72 Q2=64

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl local src 192.168.0.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0

http_access allow local

http_access allow all

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563

acl Safe_ports port 80 # http
#acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl our_networks src 192.168.0.0/24 83.16.243.116/30

#http_access deny all
http_reply_access allow all
icp_access allow all

cache_effective_user squid
cache_effective_user squid

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

coredump_dir /usr/squid/var/cache

Gość · Wysłany: Wto Kwi 19, 2005 6:50 pm Temat postu: Re:

Dnia Tue, 19 Apr 2005 20:00:19 +0200, tomasz.n napisaĹ�:

> Witam szanowne forum.
> Jestem bardzo poczatkujÂącym adminem.
> ZrobiliÂśmy sobie sieĂŚ osiedlowÂą i mam problem, jakiÂś czas temu na forum
> ktoÂś
> mi sie wpisaÂł Âże moj serwer to open proxy - mam squida. A w niedlugo
> potym
> moi uÂżytkownicy stwierdzili Âże nie moÂżna wysyÂłaĂŚ poczty przez WP.PL w
> mailach od WP.PL pisze Âże moje ip jest na czarnej liÂście http://dsbl.org
>
> MogÂłby mi ktoÂś powiedzieĂŚ jaka jest procedura usuniĂŞcia sie z tej listy
Nalezy usunac przyczyne i sie zweryfikowac.

> nie byÂł open-proxy i co to open_proxy znaczy?
Najlepiej zabindowac sie tylko na niepublicznym interfejsie.

>
> Ponizej moj konfig squida, dzieki za wyrozumiaÂłoÂśc i podpowiedzi.
>
> ----------------------- squid.conf ----------

http_port lokalne_ip:port
np. http_port 192.168.0.1:8080

Wtedy o ile nie przekierujesz czegos z zewnatrz nic ci ze swiata nie wlezie

--
Jaroslaw "Jaros" Berezowski

Gość · Wysłany: Wto Kwi 19, 2005 7:10 pm Temat postu: Re: DSBL - jak sie z

tomasz.n napisał(a):
> Witam szanowne forum.
> Jestem bardzo poczatkującym adminem.
> Zrobiliśmy sobie sieć osiedlową i mam problem, jakiś czas temu na forum ktoś
> mi sie wpisał że moj serwer to open proxy - mam squida. A w niedlugo potym
> moi użytkownicy stwierdzili że nie można wysyłać poczty przez WP.PL w
> mailach od WP.PL pisze że moje ip jest na czarnej liście http://dsbl.org
>
za open-proxy znajdujesz sie na wielu listach DNSBL, ponizej masz spis:
http://www.dnsstuff.com/tools/ip4r.ch?ip=83.16.243.118
co tyczy samego proxy to zrob je tylko dla wlasnej sieci a nie:
acl all src 0.0.0.0/0.0.0.0
dodatkowo warto wyciac je na firewallu od strony neta