Postfix - blokowanie IP ?

[Quickest]

On Mon, 7 Jul 2003 17:33:07 +0200
Bartek Jakubski <migo w supernet.com.pl> wrote:

> On Mon, Jul 07, 2003 at 11:54:18AM +0200, Quickest wrote:
> > On Sun, 6 Jul 2003 14:55:28 +0200
> > Bartek Jakubski <migo w supernet.com.pl> wrote:
> > 
> >>> tymczasem:
> >>> ip REJECT 
> >>> nie działa wcale, jak to powinno to wyglądać poprawnie, aby postfix odbijał pocztę z danego ip ?
> >>> 
> >> 
> >> Pokaż wynik 'postconf|grep restriction'.
> >> 
> > 
> > [root w danger mail]# postconf|grep restriction
> > smtpd_client_restrictions = reject_rbl_client relays.ordb.org, hash:/etc/mail/access
> > smtpd_data_restrictions =
> > smtpd_etrn_restrictions =
> > smtpd_helo_restrictions =
> > smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
> > smtpd_restriction_classes =
> > smtpd_sender_restrictions = hash:/etc/mail/access
> > [root w danger mail]#
> > 
> > Tak, to powinno wyglądać prawidłowo ? Czy inaczej ? Bo chyba, coś nie do końca, mam to dobrze skonfigurowane.
> > 
> To generalnie jest prawidłowo, inna sprawa, co _dokładnie_ chciałes
> osiągnąć. Jedna sprawa - zwykle początkujący w postfiksie mają z tym
> problemy - czym się różnią smtpd_client_restrictions,
> smtpd_sender_restrictions i smtpd_recipient_restrictions. (no
> i powiedzmy *_data_*). Otóż nazwy tych parametrów nie określają co jest
> sprawdzane w wymienionych w nich regułkach, tylko _kiedy_ są sprawdzane
> te regułki.
> smtpd_client_restrictions jest sprawdzane po połączeniu klienta
> smtpd_sender_restrictions po 'MAIL FROM:' w sesji SMTP
> smtpd_recipient_restrictions po 'RCPT TO:'
> 
> czyli w smtpd_client_restrictions nie możesz sprawdzać po adresie
> nadawcy, bo zwyczajnie postfix go jeszcze nie zna.
> W smtpd_recipient_restrictions możesz korzystać z wszystkich regułek.
> Jeszcze żeby uniknąć nieporozumień: domyślnie ustawione jest
> 'smtpd_delay_reject = yes', co powoduje, że jeśli np. jakaś regułka
> z smtpd_client_restrictions spowoduje odrzucenie maila, to komunikat
> o tym klient dostanie i tak dopiero po 'RCPT TO:'.
> 
> Nie wiem, co tam trzymasz w /etc/mail/access, ale to co masz
> w smtpd_client_restrictions jest równoważne:
>   reject_rbl_client relays.ordb.org 
>   check_client_access hash:/etc/mail/access
> 
> Czyli access będzie sprawdzone pod kątem adresu i domeny klienta. Zwróć
> uwagę, że umieszczenie tam 'OK' nie ma a bardzo sensu (tzn. może mieć
> w specyficznej sytuacji), bo i tak potem będzie sprawdzone
> smtpd_recipient_restrictions i poczta i tak może zostać odrzucona.
> 
> Generalnie: zwykle czytelniej jest wrzucić wszystko do
> smtpd_recipient_restrictions, np:
> 
> smtpd_recipient_restrictions = 
>   permit_mynetworks
>   permit_sasl_authenticated
>   check_client_access hash:/etc/mail/access
>   check_sender_access hash:/etc/mail/access
>   reject_rbl_client relays.ordb.org
>   permit_auth_destination
>   reject
> 
Jul  8 12:15:36 danger postfix/master[19570]: terminating on signal 15
Jul  8 12:15:36 danger postfix/postfix-script: starting the Postfix mail system
Jul  8 12:15:36 danger postfix/master[19756]: daemon started -- version 2.0.10
Jul  8 12:15:56 danger postfix/smtpd[19780]: connect from unknown[192.168.0.2]
Jul  8 12:15:56 danger postfix/smtpd[19780]: 4D1A78EF4: client=unknown[192.168.0.2], sasl_method=LOGIN, sasl_username=quickest
Jul  8 12:15:56 danger postfix/smtpd[19780]: 4D1A78EF4: reject: RCPT from unknown[192.168.0.2]: 504 <speed>: Helo command rejected: need fully-qualified hostname; from=<quickest w danger.eu.org> to=<biuro w div.pl> proto=ESMTP helo=<speed>
Jul  8 12:15:57 danger postfix/smtpd[19780]: disconnect from unknown[192.168.0.2]

Niby wszystko ok, ale nie do końca nie mogą wysyłać maili z innych hostów, tylko z localhosta, dlaczego ??

-- 
Jakub "Quickest" Kozicki
.mailto: q u i c k e s t <at> d a n g e r <dot> e u <dot> o r g  
RLU: #273864 | "Los jest ślepy, ale trafia bez pudła."