Форум на Kuban.ru (http://forums.kuban.ru/)
-   Сети и их администрирование (http://forums.kuban.ru/f1029/)
-   -   exim пара "аномалий" (http://forums.kuban.ru/f1029/exim_para_anomalij-2534597.html)

gloomymen 25.04.2012 10:40
exim пара "аномалий"
 
1. host_lookup имеет тип hostlist, но почему-то не реагирует на отрицательные элементы списка, !127.0.0.1 и т.п. все равно резольвит в обоих направлениях
2. есть список whiteip типа hostlist, содержит запись
*.firma.ru
куда попадает 4 домена 3-го уровня
acl с условием !+whiteip не срабатывает на 1 из этих четырех, даже если его указываю явно полностью, реагирует только на ip этого болезного, прямая/обратная зоны в порядке, первые 3 имеют вид mx.abc.firma.ru, "проблемный" mx.nt.firma.ru
зы: если по первому вопросу возможно недокументированная особенность, то по второму толкового объяснения не нахожу

droidman 25.04.2012 13:03
1:
[quote]host_lookup
Use: main
Type: host list
Default: unset
Exim does not look up the name of a calling host from its IP address unless it is required to compare against some host list, or the host matches [b]helo_try_verify_hosts[/b] or [b]helo_verify_hosts[/b], or the host matches this option (which normally contains IP addresses rather than host names).[/quote]

2: hostlist для ip-адресов =) Для днс-имён есть domainlist

gloomymen 25.04.2012 13:53
спасибо за цытату, ты думаешь я это не читал?
по сути вопроса есть соображения?
[em]hostlist для ip-адресов =) Для днс-имён есть domainlist[/em]
из spec.txt
[em]hostlist relay_hosts = 192.168.23.0/24 : my.friend.example[/em]
для ip-адресов? кто тебе такое набрехал?

droidman 25.04.2012 18:28
[quote]In other words, a list that ends with a negative item behaves as if it had an extra item :* on the end.

Another way of thinking about positive and negative items in lists is to read the connector as “or”
after a positive item and as “and” after a negative item.[/quote]
мож из-за этого?

По-поводу второго, напиши здесь ACL в котором используешь whitelist.

gloomymen 26.04.2012 10:21
что значит [em]мож из-за этого?[/em]
логика обработки hostlist'а мне понятна, непонятно почему кладет на негативные элементы, т.е. резольвит ВСЁ

не знаю зачем тебе это сподобилось, но наздоровье
accept hosts = !+relay_from_hosts : !+whiteip

gloomymen 26.04.2012 10:24
+4 [em]кладет на негативные элементы[/em] именно в контексте [u]host_lookup[/u], в других списках все вполне адекватно

gloomymen 27.04.2012 14:01
перевелись екзимщики на руси

droidman 27.04.2012 19:52
Яж не зря спросил, нафига миксовать имена и адреса =)
При невозможности отрезолвить имя в hostlist'е - будет исключение эквивалентное отрицательному результату поиска в списке.

Попробуй [code]accept hosts = !+relay_from_hosts : !+whiteip[/code]
переделать в [code]drop hosts = +relay_from_hosts : +whiteip[/code]

gloomymen 27.04.2012 19:57
[em]При невозможности отрезолвить имя в hostlist'е[/em]
так резольвится зараза)
в дроп нельзя, почта ходить перестанет)

droidman 27.04.2012 20:24
ну как вариант ищо - сделать список key-based через lsearch и поубирать/расписать все wildcards (*):
[code]hostlist whiteip = lsearch;/etc/exim/whitelist[/code]

[em]в дроп нельзя, почта ходить перестанет)[/em]
можно после этого дропа поставить [code]accept hosts = *[/code]

Ещё можно ещё поизучать конфиги exim4u, там грамотно работа идёт со всякими извратами вроде dnsdb и прочих лукапов =)

gloomymen 27.04.2012 20:40
[em]ну как вариант ищо - сделать список key-based[/em]
вот нахрена козе баян?
в теме уже упоминал, что имя хоста полностью, без мета, не срабатывает, такой вот халам-балам)

[em]можно после этого дропа поставить [/em]
ты сам-то веришь в то что пишешь?)))
после этого дропа что-то ставить бессмысленно

gloomymen 27.04.2012 20:51
хотя, последний в acl эксепт есть конечно, куда же без него;)

droidman 27.04.2012 20:52
[em]после этого дропа что-то ставить бессмысленно[/em]
поясни, если не трудно)

по моей логике, первый вариант (с accept) звучит так - принять хост, если он не в списке relay_from_hosts или не в списке whiteip; второй наоборот - отвергнуть хост, если он в этих списках (поэтому и надо следом accept *)

gloomymen 27.04.2012 20:58
поясняю:
нахрена этот accept, если сервер будет дропать [b]всю[/b] легальную почту?)))
так понятнее?

gloomymen 27.04.2012 20:59
нахрена тогда вообще этот сервер?

droidman 27.04.2012 21:11
чот у нас рассинхрон реальности походу =)

gloomymen 27.04.2012 21:18
ну почему же?
accept в конце любого acl есть по дефолту, если я его не задействую явным образом, а т.к. задействовал то и указал, это раз
два, relay_from_hosts и whiteip содержат локальную сеть и доверенные хосты, если я по твоему совету всё это хозяйство буду дропать, вознякает законный вопрос - для каких целей будет использоваться этот сервер?

gloomymen 27.04.2012 21:25
droidman, ты должен извиниться)

droidman 27.04.2012 21:45
извиняюсь =)

gloomymen 27.04.2012 22:57
добре сынку, а теперь попробуй мозгаме поворочать)

gloomymen 28.04.2012 10:46
droidman, сори, "слегка" наврал
если полностью хост указать "mx.nt.firma.ru", условие срабатывает
не совпадает шаблон *.firma.ru или *.nt.firma.ru для этого хоста, что есть неправильно

droidman 28.04.2012 21:15
мозги все в керберосе) кста спробуй какнть екзим через GSSAPI привязать к AD - от ексченжа хрен отличишь)


Текущее время: 18:30. Часовой пояс GMT +3.