Решено Подключения левых Интернет пользователей

  • Автор темы Автор темы Ficoos
  • Дата начала Дата начала
  • Теги Теги
    admin
я за ради точности) у меня опенам наружу на веб, не достучатся)
 
Список держался долго и не изменялся. Только после перезагрузки Domino все подключения исчезли. Подозреваю, что где-то в кэше зависло.
 
Мыш сказал(а):
Домино же юзера блочит, а тот же fail2ban может IP-адреса атакующих рубануть. Полезней.
Нажмите, чтобы раскрыть...
Юморно. Надысь пришлось публиковать поп & смтп. Опустим причины.
С удивлением понял, что ха не передает адрес клиента. Количество ботов, с подбором пароля, стало расти по экспоненте)
В общем убрал ха и опубликовал pop&smtp через нжинкс с авторизацией по лдап. Ну и fail2ban.
Наступила тишина)
 
  • Нравится
Реакции: Мыш
aameno2 сказал(а):
Юморно. Надысь пришлось публиковать поп & смтп. Опустим причины.
С удивлением понял, что ха не передает адрес клиента. Количество ботов, с подбором пароля, стало расти по экспоненте)
В общем убрал ха и опубликовал pop&smtp через нжинкс с авторизацией по лдап. Ну и fail2ban.
Наступила тишина)
Нажмите, чтобы раскрыть...
как то возился - чёт не получилось через нжинкс... (через хапрокси делал)
м.б. от клиента зависит
 
lmike сказал(а):
как то возился - чёт не получилось через нжинкс... (через хапрокси делал)
м.б. от клиента зависит
Нажмите, чтобы раскрыть...
первый раз тоже не получилось. со второго зашло.
Скрипт авторизации через лдап, примерный, гуглится на гите. Через него можно устраивать балансировку кстати.
К домино попадает все равно без ип клиента, но меня интересовали логи нжинкса для бана.
 
aameno2 сказал(а):
первый раз тоже не получилось. со второго зашло.
Скрипт авторизации через лдап, примерный, гуглится на гите. Через него можно устраивать балансировку кстати.
К домино попадает все равно без ип клиента, но меня интересовали логи нжинкса для бана.
Нажмите, чтобы раскрыть...
кмк нжинкс отвечает хттп заголовками
 
В драфте так примерно
Код: 
mail {
    server_name блаблабла;
    auth_http                   127.0.0.1:8080/auth.php;
    proxy_pass_error_message    on;
    ssl_certificate             /etc/letsencrypt/live/блаблабла/fullchain.pem; # managed by Certbot
    ssl_certificate_key         /etc/letsencrypt/live/блаблабла/privkey.pem; # managed by Certbot
    ssl_protocols               TLSv1.2 TLSv1.3;
    ssl_ciphers                 HIGH:!aNULL:!MD5;
    xclient                     off;
    include                     /etc/nginx/mail.d/*.conf;
    error_log /var/log/nginx/auth_error.log;
}
server {
    listen                   внешний:995 ssl;
    protocol              pop3;
    pop3_auth           apop plain cram-md5;
    starttls off;
}
server {
    listen                    внешний:465 ssl;
    protocol               smtp;
    smtp_auth            login plain cram-md5;
    proxy_smtp_auth off;
    starttls off;
}
Авторизация:
log_format  proxy_auth
            '$http_client_ip - $remote_user [$time_local] "$request" '
            '$status $body_bytes_sent "$http_referer" '
            '"$http_user_agent" "$http_x_forwarded_for" AuthStatus:"$auth_status"';
server {

    listen 127.0.0.1:8080;
    root /srv/www/html/nginx-mail-auth-ldap;
    index    index.php index.html;
    location ~ \.php$ {
            fastcgi_pass unix:/run/php/php8.2-fpm.sock;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param     PATH_INFO $fastcgi_path_info;
            include fastcgi_params;
    #lua
            set $auth_status "";
            header_filter_by_lua '
                ngx.var.auth_status = ngx.resp.get_headers()["Auth-Status"]
            ';
    #
    }
    access_log /var/log/nginx/auth_access.log proxy_auth;
    error_log /var/log/nginx/auth_error.log;
}
Пример обработки авторизации
 
  • Нравится
Реакции: lmike
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ