Решено Подключения левых Интернет пользователей

[aameno2]

Домино же юзера блочит, а тот же fail2ban может IP-адреса атакующих рубануть. Полезней.

инетлокаут теперь и по ипам блочит тоже

 

[lmike]

инетлокаут теперь и по ипам блочит тоже

но это ток на уровне сервиса, а не файрвола, т.е. ресурс сервиса будет "напрягаться"

 

[aameno2]

я за ради точности) у меня опенам наружу на веб, не достучатся)

 

[Мыш]

инетлокаут теперь и по ипам блочит тоже

Спасибо, не знал! Но у нас на входе почтовый шлюз, так что не пригодидзе

 

[Ficoos]

Список держался долго и не изменялся. Только после перезагрузки Domino все подключения исчезли. Подозреваю, что где-то в кэше зависло.

 

[aameno2]

Домино же юзера блочит, а тот же fail2ban может IP-адреса атакующих рубануть. Полезней.

Юморно. Надысь пришлось публиковать поп & смтп. Опустим причины.
С удивлением понял, что ха не передает адрес клиента. Количество ботов, с подбором пароля, стало расти по экспоненте)
В общем убрал ха и опубликовал pop&smtp через нжинкс с авторизацией по лдап. Ну и fail2ban.
Наступила тишина)

 

[lmike]

Юморно. Надысь пришлось публиковать поп & смтп. Опустим причины.
С удивлением понял, что ха не передает адрес клиента. Количество ботов, с подбором пароля, стало расти по экспоненте)
В общем убрал ха и опубликовал pop&smtp через нжинкс с авторизацией по лдап. Ну и fail2ban.
Наступила тишина)

как то возился - чёт не получилось через нжинкс... (через хапрокси делал)
м.б. от клиента зависит

 

[aameno2]

как то возился - чёт не получилось через нжинкс... (через хапрокси делал)
м.б. от клиента зависит

первый раз тоже не получилось. со второго зашло.
Скрипт авторизации через лдап, примерный, гуглится на гите. Через него можно устраивать балансировку кстати.
К домино попадает все равно без ип клиента, но меня интересовали логи нжинкса для бана.

 

[lmike]

первый раз тоже не получилось. со второго зашло.
Скрипт авторизации через лдап, примерный, гуглится на гите. Через него можно устраивать балансировку кстати.
К домино попадает все равно без ип клиента, но меня интересовали логи нжинкса для бана.

кмк нжинкс отвечает хттп заголовками

 

[aameno2]

глюк кушает, тандер тоже

 

[aameno2]

В драфте так примерно

mail {
    server_name блаблабла;
    auth_http                   127.0.0.1:8080/auth.php;
    proxy_pass_error_message    on;
    ssl_certificate             /etc/letsencrypt/live/блаблабла/fullchain.pem; # managed by Certbot
    ssl_certificate_key         /etc/letsencrypt/live/блаблабла/privkey.pem; # managed by Certbot
    ssl_protocols               TLSv1.2 TLSv1.3;
    ssl_ciphers                 HIGH:!aNULL:!MD5;
    xclient                     off;
    include                     /etc/nginx/mail.d/*.conf;
    error_log /var/log/nginx/auth_error.log;
}
server {
    listen                   внешний:995 ssl;
    protocol              pop3;
    pop3_auth           apop plain cram-md5;
    starttls off;
}
server {
    listen                    внешний:465 ssl;
    protocol               smtp;
    smtp_auth            login plain cram-md5;
    proxy_smtp_auth off;
    starttls off;
}
Авторизация:
log_format  proxy_auth
            '$http_client_ip - $remote_user [$time_local] "$request" '
            '$status $body_bytes_sent "$http_referer" '
            '"$http_user_agent" "$http_x_forwarded_for" AuthStatus:"$auth_status"';
server {

    listen 127.0.0.1:8080;
    root /srv/www/html/nginx-mail-auth-ldap;
    index    index.php index.html;
    location ~ \.php$ {
            fastcgi_pass unix:/run/php/php8.2-fpm.sock;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param     PATH_INFO $fastcgi_path_info;
            include fastcgi_params;
    #lua
            set $auth_status "";
            header_filter_by_lua '
                ngx.var.auth_status = ngx.resp.get_headers()["Auth-Status"]
            ';
    #
    }
    access_log /var/log/nginx/auth_access.log proxy_auth;
    error_log /var/log/nginx/auth_error.log;
}

Пример обработки авторизации