« Archives in July, 2010

Qnap TS419u port trunking con Cisco 4500


Questo NAS (linux inside) ha due interfacce di rete che possono essere configurate in diversi modi.

Io ho scelto di aggregare queste 2 schede per avere il bilanciamento del carico e il failover.
Attraverso la pagina web vai in amministrazione di sistema, quindi in rete; qui spunta l'opzione "Enable port trunking".
Nel menu a discesa è sufficiente scegliere "IEEE 802.3ad" e applicare le impostazioni.

Ora andiamo sullo switch cisco (io ho un Cisco IOS, non un CAT OS)...
io ho conesso le schede sulle interfacce Gi1/1 e Gi1/2 (adattatelo alla vostra situazione)

interface GigabitEthernet1/1
 description to NAS
 switchport access vlan 10
 switchport mode access
 speed 1000
 duplex full
 channel-protocol lacp
 channel-group 64 mode active
end

interface GigabitEthernet1/2
 description to NAS
 switchport access vlan 10
 switchport mode access
 speed 1000
 duplex full
 channel-protocol lacp
 channel-group 64 mode active
end

interface Port-channel64
 description Connessione NAS
 switchport
 switchport access vlan 10
 switchport mode access
end

Con questa configurazione sullo switch, quando una scheda viene disconnessa, la connessione al NAS resta attiva anche se stai trasferendo dei dati.

Combattiamo lo spam con Postif+Postgrey+Clamav

Dopo qualche anno di onorato servizio, Mailscanner ha iniziato a perdere i colpi, così ho deciso di provare un'altra strada....
In sala server (dopo la server consolidation) trovo un IBM x226 configurato con:

  • 2x Intel Xeon 3GHz;
  • 6 GB RAM,
  • 4x 40GB SCSI
  • IBM Server Raid controller
  • 2X NetXtreme BCM5703 Gigabit Ethernet controller

Installo una Centos 5.5 final, purificata dai pacchetti "inutili", installo postfix, postgrey, e dopo aver abilitato (solo per questa volta) i repo rpmforge, ho installato clamav-milter

Quindi ho configurato postfix per lavorare come gateway di posta verso il nostro mailserver interno,e ho abilitato alcuni controlli sul mittente.
Questo è un estratto di postfix.conf:

smtpd_recipient_restrictions =  reject_invalid_hostname,
                                reject_non_fqdn_hostname,
                                reject_non_fqdn_sender,
                                reject_unauth_destination,
                                reject_unauth_pipelining,
                                check_sender_access hash:/etc/postfix/whitelist
                                reject_rbl_client zen.spamhaus.org,
                                reject_rbl_client dnsbl.njabl.org,
                                reject_unknown_recipient_domain,
                                reject_unverified_recipient

In "check_sender_access" ho la Whitelist per alcuni mittenti che usano mailservers blacklistati, ma dai quali dobbiamo ricevere posta.
Adesso è il momento di impostare postgrey, quindi in main.cf alla fine della sezione

smtpd_recipient_restriction

ho agiunto:

check_policy_service inet:127.0.0.1:10025

In /etc/sysconfig/postgrey imposto le opzioni e questo è il risultato:

OPTIONS="--greylist-text="You are greylisted...try again later. "
--inet=127.0.0.1:10025  --user=postfix --group=postfix"

Si puo anche usare lo unix socket al posto del tcp socket... scelta personale...

Clamav-milter deve essere configurato, il suo file di config è /etc/clamav-milter.conf,
io ho cambiato questi parametri:

MilterSocket unix:/var/clamav/clmilter.socket
User clamav
AllowSupplementaryGroups yes
ClamdSocket unix:/var/run/clamav/clamd.sock
LogFile /var/log/clamav/clamav-milter.log
LogSyslog yes
LogFacility LOG_MAIL
LogInfected Basic

Ho istruito postfix a usare clamav-milter, aggiungendo queste due linee in /etc/postfix/main.cf after "smtpd_recipient_restrictions" section:

smtpd_milters = unix:/var/clamav/clmilter.socket
non_smtpd_milters = unix:/var/clamav/clmilter.socket

Con queste impostationi, non abbiamo nessun falso positivo, e blocchiamo il 99% dello spam (i nostri users ringraziano)