1
LDAP 討論區 / Re: LDAP error 12 Unavailable Critical Extension 問題
« 於: 2016-06-04 00:04 »封包收一下 , 看看 fortigate 要什麼格式這對小弟還真是個大挑戰@@"...部過仍不失個可以嘗試的方向~
印象中這滿難的 ... 要比對到知道兩邊指令差異
另外小弟又測試了採取本文格式讀取LDIF檔案來查詢~不過始終只傳回最上頭的第一筆資料而已~難不成這種方式只能替每筆資料產生單獨的檔案??
這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。
封包收一下 , 看看 fortigate 要什麼格式這對小弟還真是個大挑戰@@"...部過仍不失個可以嘗試的方向~
印象中這滿難的 ... 要比對到知道兩邊指令差異
大家好, 第一次發問, 如有不適之處請多指教,小弟沒記錯的話~這套程式跟AD整合就是抓email欄位中的值喔.....
狀況描述:
區域網路已經有1個的windows 2003 ad 網域, 網域名稱例如叫 xyz.com
然而因為xyz.com太熱門早就被搶走, 註冊不到xyz.com這個域名, 所以選擇另一個叫xyzgg.com
用Centos 7架了iredmail opensource版當mail server, 用來收xyzgg.com這個網域的信件, 因為是免錢版所以沒有建Group mail功能, 參考了一些document, 也成功讓iredmail與ad用ldap整合,
webmail可以順利的用ad帳號登入, 不用在Centos與iredmail另外建立, 也撈到ad的user&group
不過我在傷腦筋的一個問題, 如果這樣的話, 來做郵件的收發信帳號查核
會不會因為因為這郵件xyzgg.com網域與AD網域xyz.com不同的關係, 導致無法收信與發信, 還是說, 只要AD使用者帳號裡面的email欄位是xyzgg.com就不會有這個問題,
如果又剛好註冊到xyzggininder.com.tw這個網域名稱, 也想用這個帳號來收信, 會不會不能收信
不曉得有沒有人有這方面的經驗, 更動ad應該是不太可能, 或是有沒有更好的解決方式
感謝感謝
$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -I INPUT -s $LANIPS -p tcp --dport 3128 -j ACCEPT
但現在有一個問題想排除Server Farm網段不經由squid的埠號轉導(80->3128)那該怎麼修改以上的代碼呢??還請大家給予指教~謝謝$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -m iprange --src-range 192.168.2.0-192.168.254.254-j REDIRECT --to-port 3128
這樣子後就都解決了~不過後續還要觀察看看有無其他狀況try using mynetworks_style or mynetworks不好意思在請教一下~小弟的狀況是外部的郵件主機寄信過來的問題..這個設定也可以嗎??
relayhost =感謝netman老大的指點~^^
建議樓上去google爬一下那些設定的意思小弟有先google過~只是不明白之前在設定的時候並沒有發現結尾有加上permit這個單字~
用意是阻擋垃圾信
smtpd_recipient_restriction 是檢查收件人欄位 (比較正確的說法是在 RCPT TO 時做檢查)
permit_sasl_authenticated
允許通過 sasl 驗證的寄件者
permit_mynetworks
允許 mynetwork ,這是自己設定的,通常是內部網段或特定的 MAIL SERVER IP
既然是 postfix,研究一下下列的設定:不好意思請教一下小弟查了一些資料google一下發現大部分最後結尾的地方都會在加上permit.....不知道是否世新版本需要這樣設定還是其他的原因?
smtpd_recipient_restrictions =
permit_sasl_authenticated
permit_mynetworks
reject_invalid_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_unlisted_sender
reject_rbl_client bl.spamcop.net
reject_rbl_client xbl.spamhaus.org
reject_unauth_destination
可以省掉很多麻煩。
恩恩.....目前將上一篇中提到的目錄下的檔案刪除之後~maillog紀錄中該訊息就已經很少出現了....小弟目前的做法是把在/var/spool/postfix/deferred/底下的所有目錄都刪除,觀察LOG就比較沒再出現這些退信的資訊.....引用Aug 26 20:41:23 mail postfix/qmgr[32052]: E4B7BF39A2: to=<callme@gmaill.com>, relay=none, delay=395806, delays=395786/20/0/0, dsn=4.4.3, status=deferred (delivery temporarily suspended: Host or domain name not found. Name service error for name=gmaill.com type=MX: Host not found, try again)引用Aug 18 07:01:32 mail postfix/qmgr[2829]: 14FE01D41C1: to=<callme@aol.com>, relay=none, delay=78024, delays=78023/0.01/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-01.mx.aol.com[205.188.159.42] refused to talk to me: 554 mtain-dk05.r1000.mx.aol.com ESMTP not accepting connections)
看起來你的郵件伺服器 遇到了垃圾信件,然後在努力的退信。
不知有無方法可以找出有問題的帳號?或是postfix中可以怎麼設定會減少此類情況發生?
再次感謝^^
我們沒辦法主動去阻止這類的攻擊,但是依靠每天系統發出的LOG,可以觀察到系統重試的狀況,大概每天看個一兩次其實也就差不多了....
因為我們不太能確定敵人是故意的 DDOS 攻擊,或者是打錯字,網域錯誤,亦或者是對方主機離線關機維修中?
小弟目前的做法是把在/var/spool/postfix/deferred/底下的所有目錄都刪除,觀察LOG就比較沒再出現這些退信的資訊.....引用Aug 26 20:41:23 mail postfix/qmgr[32052]: E4B7BF39A2: to=<callme@gmaill.com>, relay=none, delay=395806, delays=395786/20/0/0, dsn=4.4.3, status=deferred (delivery temporarily suspended: Host or domain name not found. Name service error for name=gmaill.com type=MX: Host not found, try again)引用Aug 18 07:01:32 mail postfix/qmgr[2829]: 14FE01D41C1: to=<callme@aol.com>, relay=none, delay=78024, delays=78023/0.01/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-01.mx.aol.com[205.188.159.42] refused to talk to me: 554 mtain-dk05.r1000.mx.aol.com ESMTP not accepting connections)
看起來你的郵件伺服器 遇到了垃圾信件,然後在努力的退信。
Aug 26 20:41:23 mail postfix/qmgr[32052]: [color=red]E4B7BF39A2[/color]: to=<[color=green]callme@gmaill.com[/color]>, relay=none, delay=395806, delays=395786/20/0/0, dsn=4.4.3, status=deferred (delivery temporarily suspended: Host or domain name not found. Name service error for name=gmaill.com type=MX: Host not found, try again)
Aug 18 07:01:32 mail postfix/qmgr[2829]: 14FE01D41C1: to=<[color=green]callme@aol.com[/color]>, relay=none, delay=78024, delays=78023/0.01/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-01.mx.aol.com[205.188.159.42] refused to talk to me: 554 mtain-dk05.r1000.mx.aol.com ESMTP not accepting connections)
其中綠色的地方會變換不同的網域名稱........目前的做法為:A--eth0<--> B eth0(互接且單獨的網段)..然後A跟B剩餘的網卡接到SWITCH上...我現在的做法是B直接對A...A再提供ISCSI的服務給ESXI的機器使用........是阿...利用LVM的特性來延展空間...我想這樣的做法應該是可行的..只是不知道效能如何??及可能發生的問題為何?謝謝^^
假設C原本可以直接存取B storage(C<->B),會變成C<->A<->B,至少LAN的traffic會倍增,只是一般server都有1port的NIC,就看LAN要怎麼切吧 ....
二台伺服器的二張網卡都做合併網卡的設定..A上面再多增加二張網卡來跟B做連接用...這是我最理想的方案
但是要是無法再生出二張網卡....只好都串接到SWITCH上做連接了.....
我現在的做法是B直接對A...A再提供ISCSI的服務給ESXI的機器使用........是阿...利用LVM的特性來延展空間...我想這樣的做法應該是可行的..只是不知道效能如何??及可能發生的問題為何?謝謝^^
假設C原本可以直接存取B storage(C<->B),會變成C<->A<->B,至少LAN的traffic會倍增,只是一般server都有1port的NIC,就看LAN要怎麼切吧 ....
這好像是由a做controller,然後將b的空間加入,未來若要擴充,可以方便的在加入其他空間是阿...利用LVM的特性來延展空間...我想這樣的做法應該是可行的..只是不知道效能如何??及可能發生的問題為何?謝謝^^
有個想法,但不知有沒有辦法成功看起來有點複雜的樣子=.="~~還有其他建議的方案可以參考嗎?謝謝
用hadoop的file system,將兩個server的空間視為同一個,接著在做iscsi target
我同事最近有介紹一個SvSAN,還沒研究,不知是不是你要的!!這個好像是要錢的~不知道還有其他的方案可以做到嗎??謝謝
HELLO!!!HELLO 你好:
1. 沒有錯,考試所作的操作完全都是在KVM上面,實體機不會去動到,安裝系統現在已經不會考了(聽說很久以前會 = =a)
2. RHCSA的重點不在iptables和selinux,但是會牽涉到一點點點點,但是RHCE就是重點的一部份囉!!!