postfix で RBL を利用する場合

Postfix で RBL を使用する場合、単純に「smtpd_recipient_restrictions」内のしかるべき場所に「reject_rbl_client」で指定してあげたら良いだけです。

ただ、改めてドキュメントを見ていると、返答された A レコードの内容によって通したり通さなかったり出来る模様でした。

smtpd_recipient_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_destination,
	reject_rbl_client all.rbl.jp,
	reject_rbl_client bl.spamcop.net,
	reject_rbl_client zen.spamhaus.org=127.0.0.[2;3;4;5;6;7;10;11]

こんな感じで書いた場合、

  • all.rbl.jp および bl.spamcop.net で接続元 IPv4 (aaa.bbb.ccc.ddd だと ddd.ccc.bbb.aaa.rbl_domain の様な形式) で A レコードを引いて、何か値が返ってきたらブロック。
  • zen.spamhaus.org で引いた場合で、127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.5, 127.0.0.6, 127.0.0.7, 127.0.0.10, 127.0.0.11 のいずれかが返ってきた場合ブロック。

となる様でした。

なお、「reject_rbl_client」パラメータの「rbl_domain=」の後の IPv4 アドレスは Postfix 2.1 以降、[] 内の値を「;」文字で分割できるのは、Postfix 2.8 以降で使用できる模様です。

ちなみに、zen.spamhaus.org を使用している場合で、本当に設定が有効になっているかどうかを確認するには、設定したサーバから「nelson-sbl-test [アットマーク] crynwr.com」あてにメール送信をします。

正しく設定されていると、サーバ側のメールログにブロックされている旨が記録されますし、結果もメールで返送されてきます。

squid 3.1 設定のメモ (Debian GNU/Linux 7 での場合)

Debian GNU/Linux 7 での設定例です。キャッシュは使用しません。プロキシのポート番号は 8080 です。

■設定とインストール

・インストール

# apt-get install squid3

・認証用ファイルを作る

以下のような形式のプレーンテキストファイルを「/etc/squid3/passwd」に作成し、適切な権限を与えます。

Username:Password
# cd /etc/squid3
# echo "Username:Password" > passwd
# chmod 600 passwd
# chown proxy:proxy passwd

・squid3 の設定ファイルを編集

/etc/squid3/squid.conf を編集する。

# Digest 認証部分
auth_param digest program /usr/lib/squid3/digest_pw_auth /etc/squid3/passwd
auth_param digest children 5
auth_param digest realm Proxy Server
auth_param digest nonce_garbage_interval 5 minutes
auth_param digest nonce_max_duration 30 minutes
auth_param digest nonce_max_count 50

# キャッシュマネージャーの ACL
acl manager proto cache_object

# localhost の ACL
acl localhost src 127.0.0.1/32 ::1

# Digest 認証の ACL
acl passwdauth proxy_auth REQUIRED

# Proxy での SSL ポート番号並びに通すポートと CONNECT メソッドの ACL
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 443
acl CONNECT method CONNECT

# キャッシュマネージャーへのアクセス制限 (localhost のみ)
http_access allow manager localhost
http_access deny manager

# プロキシへのアクセス制限 (あらかじめ定義したポート、メソッドで localhost は許可、それ以外は Digest 認証が必要)
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow passwdauth
http_access deny all

# プロキシのポート番号
http_port 8080

# キャッシュ設定 (使用しない)
cache_mem 0 MB
cache deny all

# 実行ディレクトリ
coredump_dir /var/spool/squid3

# プロキシサーバが出力するヘッダを抑制
forwarded_for delete
via off

・設定確認

# squid3 -k parse

「via off」部分で WARNING が出ますが、ヘッダの抑制は行われます。

・再起動

# /etc/init.d/squid3 restart

■その他

squid3 が動作しているサーバが IPv6 アドレスも持っている場合、IPv4 な接続元から squid3 経由で通信すると、要求された接続先が IPv6 アドレスを持っている場合、IPv6 でアクセスすることを確認しました。プロキシ形での IPv4 <-> IPv6 変換としても使用できそうです。

Debian 8 + DNS64 + NAT64 on the Raspberry Pi 2

Debian 8 上に DNS64 + NAT64 を設定した備忘録である。例によって無保証である。

Linux カーネルのビルドは、「Kernel Building – Raspberry Pi Documentation」に記載の通り、DNS64, NAT64 関係は、「DSAS開発者の部屋:Raspberry Pi 2 で NAT64 箱をつくってみた」の通りとなる。

両者のドキュメントに感謝しつつ、実際に設定を行ってみた。なお、私の環境では、USB で NIC を接続して別インタフェースを接続している。

続きを読む

Raspberry Pi 2 Model B を AirPlay サーバに (Shairport Sync 利用編)

Raspberry Pi 2 Model B を AirPlay サーバに」で、「ShairPort」を使用して、AirPlay サーバを設定したのですが、以下の点で、若干問題が生じたのと、気になっていた点がありました。

  • iOS デバイス側で曲をスキップすると、再生が止まってしまう。
  • サーバ側で UDP ポートについて広い範囲で入力を許可としないといけない。

派生版 (?) の「Shairport Sync」を使用してみたところ、これらの問題を解決することが出来ました。


■前提条件

Raspberry Pi 2 Model B を AirPlay サーバに」の「ALSA の設定」の項目の設定が全て完了し、また前回と環境も同じであることとなります。

続きを読む

キャッシュ DNS サーバを BIND9 から Unbound へ移行

自宅内の DNS キャッシュサーバについて、BIND9 から Unbound へ移行してみました。

BIND9 はネット上に資料が豊富にあって、割と設定面では困らないのですが、度重なるぜい弱性への対応に疲れがちなので・・・。

例によって、自分用メモです。また、Debian GNU/Linux 8 環境で設定しています。

続きを読む

Raspberry Pi 2 Model B を AirPlay サーバに

何本煎じのネタかわからないぐらい情報がありますが、自分自身で Raspberry Pi 2 Model B 上の Debian GNU/Linux 8 (Raspbian ではない) のシステムに、「abrasive/shairport · GitHub」をインストールした際の記録です。

手元の iOS デバイスの音楽を、iOS デバイスと同一ネットワーク内のサーバに接続した USB-DAC 経由でスピーカーから流す、と言うのを行いました。

なお、サーバには既に avahi-daemon が設定済みであることが前提です。

続きを読む

bind9 で TSIG を利用するゾーン転送を設定した際のメモ

この例では、マスターサーバから、
・スレーブサーバ 1 には普通のゾーン転送
・スレーブサーバ 2 には TSIG を使用してのゾーン転送
という、複数のサーバに対して、TSIG を使用する・しないが混在しているような場合の設定を行う。

実用 BIND 9で作るDNSサーバ(5):スレーブ・サーバのゾーン転送とセキュリティ (3/3) – @IT」を参考にさせて頂き、また同ページに詳しい情報は掲載されているが、自分の環境での実装メモである。

続きを読む

HSTS をやめる方法

そんな設定をサーバ側でしていないのに、URL スキームに http を指定しているのに、「なぜ常に https でアクセスされてしまうのじゃー」、と悩んだ現象の原因と解決方法です。

■原因

HSTS という、URL スキームに関係なく、https でアクセスさせる仕組みが原因でした。

でも、Web サーバ側では明示的に HSTS の「Strict-Transport-Security」ヘッダを出した覚えはありません。

さらに探っていくうちに、該当 URL のサブディレクトリにインストールした、OwnCloud において、「設定」内の「常にHTTPSを使用する」にチェックを入れていると、「Strict-Transport-Security」ヘッダが出力される仕様でした。

このため、この設定を行った後、https で該当 URL の OwnCloud にアクセスしてしまうと、ブラウザが「この URL は常に https で接続しなくちゃ」と認識して、以後、http:// からアドレスを打ち込んでも、https に遷移してしまうと言うことでした。

■元に戻す方法 (HSTS を無効にする)

該当ホストの HSTS を無効にするには、Web サーバ側で「Strict-Transport-Security: max-age=0」を出力してあげれば OK のようです。

Apache であれば header モジュールを有効にした上で、VirtualHost ディレクティブ内などで

Header always set Strict-Transport-Security "max-age=0"

の様に設定します。AllowOverride で FileInfo が許可されていれば、.htaccess でも対応できると思います。

その上で、一度該当 URL にブラウザでアクセスして、ブラウザ側に「このホストは HSTS が無効になったんだな」と認識させてあげれば、以後は http から https への自動遷移は発生しません。

■参考

RFC 6797 – HTTP Strict Transport Security (HSTS)」によれば、以下のような記載がありました。

A max-age value of zero (i.e., “max-age=0”) signals the UA to cease regarding the host as a Known HSTS Host, including the includeSubDomains directive (if asserted for that HSTS Host).

ntpd の IPv6 設定

いまいち、ntpd.conf の restrict において IPv6 ネットワークアドレスの指定方法がよくわからなかったのだけど、調べたら「AccessRestrictions < Support < NTP の『6.5.1.2.1. If you used ‘restrict default ignore’』」に載っていた。

と言うことで、以下のような想定の設定を ntp.conf に行ってみる。

■想定

上位の ntp サーバ: ntp.example.com
IPv4 ネットワークアドレス: 192.168.1.0/24
IPv6 ネットワークアドレス: 2001:db8:1:1::/64

localhost からはフルアクセス、192.168.1.0/24 および 2001:db8:1:1::/64 から時刻の参照だけ許可する。

■設定例 (/etc/ntp.conf)

driftfile /var/lib/ntp/ntp.drift
server ntp.example.com iburst
restrict -4 default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict ::1
restrict 192.168.1.0 mask 255.255.255.0 noquery
restrict 2001:db8:1:1:: mask ffff:ffff:ffff:ffff:: noquery
restrict ntp.example.com noquery

snmpwalk の出力を人間に優しい表示にする (Debian 8)

・/etc/apt/sources.list にあらかじめ non-free を付け加えておく。

・インストールする

# apt-get install snmp snmpd
# apt-get install snmp-mibs-downloader
# download-mibs

・/etc/default/snmpd の「export MIBS=」をコメント化する。

・/etc/snmp/snmp.conf の「mibs :」をコメント化する。

・サービス再起動

# /etc/init.d/snmpd restart