https://www.opennet.me/openforum/vsluhforumID3/36605.html Alex Samorukov поделился техникой (http://www.opennet.ru/base/net/spamd_freebsd_ipfw2.txt.html) использования spamd совместно с пакетным фильтром IPFW2 во FreeBSD.<br><br><br>URL: http://www.opennet.ru/base/net/spamd_freebsd_ipfw2.txt.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=9704<br> https://www.opennet.me/openforum/vsluhforumID3/36605.html#23 Tue, 06 Feb 2007 13:29:17 GMT Поставил тут на, как Вы там говорите "продакшен", сервер. Через сутки наблюдаю результат:<br><br>/var/log &gt; spamdb &gt; /dev/null<br>Segmentation fault (core dumped)<br><br>/var/log &gt; spamdb &#124; wc<br> 21966 21967 2134016<br>Segmentation fault (core dumped)<br><br>/var/log &gt; spamdb &#124; grep GREY &#124; wc<br> 19651 19651 1995509<br>Segmentation fault (core dumped)<br><br>/var/log &gt; spamdb &#124; grep WHITE &#124; wc<br> 2278 2278 134412<br>Segmentation fault (core dumped)<br><br>/var/log &gt; ipfw table 1 list &#124; wc<br> 2301 4602 43474<br><br>В логе запись "Feb 6 17:10:30 proxy2 spamd[82108]: whitelisting 81.18.128.252 in /var/db/spamd", а "ipfw table 1 list &#124; grep 81.18.128.252" дает пустую строку.<br>Наверное неработает уже :( ):<br> https://www.opennet.me/openforum/vsluhforumID3/36605.html#22 Mon, 05 Feb 2007 21:20:17 GMT Естественно, spamd.conf я тоже правил и pf.conf - тоже. Более того, я после некоторого времени правил pf.conf еще раз и дописывал авто-whitelist в качестве фильтра к своему почтовому серверу. Но, верно, Вы пытаетесь зацепиться за соломинку и высасываете аргументы из пальца, хотя сильно сомневаюсь, что Вы не поняли, что речь шла о том, что патчить и издеваться над портом для того, чтобы он заработал, мне не пришлось. https://www.opennet.me/openforum/vsluhforumID3/36605.html#21 Mon, 05 Feb 2007 20:01:52 GMT &gt;себе и сделаю нормальный патчсет для IPFW. Может быть даже сделаю <br>&gt;форк проекта для более удобной работы с.<br>Да, за это будет просто куча народу, ЗА!! https://www.opennet.me/openforum/vsluhforumID3/36605.html#20 Mon, 05 Feb 2007 11:49:34 GMT &gt;&gt;&gt;Идея использовать forwarding и таблицы fw для грейлистинга мне показалась &gt;забавной и занимательной. Если использовать только тривиальные решения - работа, &gt;как по мне, становится скучной и неинтересной.<br><br> Идея бесспорно интересна.<br><br>&gt;2) Nagios НИКТО не отменял. И минут через 10 я узнаю о <br>&gt;проблеме и смогу её устранить. Пока, впрочем, ничего подобного не происходило. <br><br> Вы не спите, не едите, личной жизни не ведете :) (Ничего личного)<br><br>&gt;себе и сделаю нормальный патчсет для IPFW. Может быть даже сделаю <br>&gt;форк проекта для более удобной работы с. <br><br> Вот за это - тремя руками за! <br><br> https://www.opennet.me/openforum/vsluhforumID3/36605.html#19 Mon, 05 Feb 2007 08:41:14 GMT &gt;&gt;Идея использовать forwarding и таблицы fw для грейлистинга мне показалась &gt;забавной и занимательной. Если использовать только тривиальные решения - работа, &gt;как по мне, становится скучной и неинтересной.<br>&gt;<br>&gt; Поясняю, при падении по какой-либо причине spamd вы останетесь без почты <br>&gt;вообще, <br>1) Я не останусь. Для экспериментов был выбран малозагруженный сервер с терпеливыми пользователями ;-)<br>2) Nagios НИКТО не отменял. И минут через 10 я узнаю о проблеме и смогу её устранить. Пока, впрочем, ничего подобного не происходило. По поводу милтера - ещё раз - нет там сендмейла. и не будет. <br>&gt;с милтером этого не происходит. И если сей продукт без рашпиля даже <br>&gt;не собирается, <br>&gt;то как его в продакшен ставить ? <br>Почитайте статью. Я в конце ясно написал - что для production оно НЕ совсем готово. <br>В моих планах - дописать полноценную поддержку PF и добавить chroot. Что же насчёт production и рашпиля - тоже спорный вопрос. На многих моих production серверах весьма долго жил патченый nagios на предмет работы https://www.opennet.me/openforum/vsluhforumID3/36605.html#18 Mon, 05 Feb 2007 07:24:07 GMT &gt;Идея использовать forwarding и таблицы fw для грейлистинга мне показалась &gt;забавной и занимательной. Если использовать только тривиальные решения - работа, &gt;как по мне, становится скучной и неинтересной.<br><br> Поясняю, при падении по какой-либо причине spamd вы останетесь без почты вообще,<br>с милтером этого не происходит. И если сей продукт без рашпиля даже не собирается,<br>то как его в продакшен ставить ? И костыли с рутовыми полномочиями для установки правил pf/ipfw это просто опасно. https://www.opennet.me/openforum/vsluhforumID3/36605.html#17 Mon, 05 Feb 2007 06:53:16 GMT &gt;Кривой он только в случае, когда его пытаются использовать не по прямому <br>&gt;назначению. Т.е. - в связке с ipfw. Тео и Ко изначально <br>&gt;писали его для pf. И в связке с pf он у <br>&gt;меня, например, даже на FreeBSD работает без нареканий с того самого <br>&gt;момента, как я написал make install clean и прописал spamd_enable="YES" в <br>&gt;/etc/rc.conf <br>Нет. Он просто кривой. О чём я и написал уже 3PR.<br>По пунктам:<br>1) Там есть WITH_IPFW=yes. Которую, вероятно, даже не проверяли. Если у нас есть фича которая заявлена, но не работает - это криво.<br>2) Он конфликтует с spamassasin.<br>3) Даже в вашем варианте он не поставил spamlogd.<br>4) Порт уже сильно outdated. В текущем code base openbsd spamd произошло множество полезных улучшений.<br><br>Назовите мне, где же тут "прямой" порт? Кстати, если вы просто сделали make install clean и прописали spamd_enable="yes" - то вы получили непонятно что ;-) Без правил firewall (хоть для ipfw, хоть для pf) оно не работает )<br><br> https://www.opennet.me/openforum/vsluhforumID3/36605.html#16 Mon, 05 Feb 2007 06:47:48 GMT &gt;А собственно зачем мучить pf/ipfw ? Существует масса грейлистов для sendmail, использующих <br>&gt;milter . В чем великая сермяжная правда ? <br><br>Пытайтесь читать текст до его комментирования. Помогает избегать подобных вопросов.<br><br>Поехали:<br>1) На разных серверах в силу разных причин стоят разные почтовики. И везде, кстати, не sendmail ;-) Несомненно есть решения как для exim, так и для postfix. Но они получились бы менее универсальные и переносимые. <br>2) BSD Spamd мне понравился тем, что написан на C и использует минимальное количество ресурсов, не просит внешней СУБД, поддерживает DNSBL, красиво написан. Кроме того, подобный подход позволяет сильно экономить ресурсы своего почтовика и пожирать ресурсы MTA спамера )<br>3) Идея использовать forwarding и таблицы fw для грейлистинга мне показалась забавной и занимательной. Если использовать только тривиальные решения - работа, как по мне, становится скучной и неинтересной. https://www.opennet.me/openforum/vsluhforumID3/36605.html#15 Mon, 05 Feb 2007 06:39:57 GMT &gt;PS. Тут не раз пробегало, что одновременно вполне себе успешно работают и <br>&gt;ipf, и ipfw, и pf. Потому вообще не вижу никаких особых <br>&gt;причин, кроме религиозных, чтобы упорно пытаться использовать spamd с неродным для <br>&gt;него ipfw. <br>Вы, вероятно, так и не прочитали статью. Работают? Да, работают. Дома, кстати, у меня именно такая конфигурация - PF + IPFW. Но есть такая штука как производительность стека. Что для сервера, вобщем-то, критично. И ради spamlogd добавлять в packet flow ещё 1 firewall - это несколько неразумно. По поводу "с неродным для него". Родными, простите, могут быть папа или мама. В spamd была поддержка IPFW, которую я проверил, и, в меру сил, довёл до работоспособного состояния. Код, который в spamd общается с FW - это максимум 5% от проекта. После выполнения действий указанных в статье - всё великолепно работает, кроме того результатом стали патчи, которые позволят в будущем не наступать на подобные грабли. А что до религии - не стоит, на мой взгляд, столь глупо бросаться словами, да, у