Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Altro suggerimento feature: p3scan

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
acastellani



Registrato: 25/07/07 10:45
Messaggi: 10

MessaggioInviato: Mer Lug 25, 2007 12:56 pm    Oggetto: Altro suggerimento feature: p3scan Rispondi citando

Ho letto con piacere la prossima implementazione del transparent proxy + Clamav, veramente molto utile per la sicurezza interna.

Io uso con successo anche p3scan, un proxy pop3 trasparente (anche lui in coppia con Clamav) e che ugualmente ritengo utilissimo.

Secondo me P3SCAN sarebbe utile per l'utente e facile da integrare in ZS.

Saluti.

Andrea.

P.S. So che non sei d'accordo su questo argomento, Fulvio, ma la tentazione di chiedere una Squidguard ed un Sarg quando ci sara' Squid installato nella distro e' fortissima.Laughing
Se mancava del tutto il proxy, ok, ma visto che ci sara'.... Rolling Eyes
Top
Profilo Invia messaggio privato
barret



Registrato: 08/08/07 11:58
Messaggi: 11

MessaggioInviato: Mer Ago 08, 2007 12:05 pm    Oggetto: Rispondi citando

Secondo la mia esperienza, p3scan ha diversi bachi che mandano la CPU al 100%.
Da diversi mesi sono passato pop3p con soddisfazione e senza riscontrare problemi.
In ogni caso, un pop3 forward è un componente decisamente utile allo scopo e semplice da integrare.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Ago 08, 2007 9:01 pm    Oggetto: Rispondi citando

Non conosco questi software (Squidguard, Sarg, pop3p e p3scan), ma mi documenterò e senz'altro ne valuterò la possibile integrazione in ZeroShell.
Magari potreste postare qualche dettaglio in più così vediamo cosa ne pensano anche altri partecipanti al forum o suggerirci altro secondo le loro esperienze.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
barret



Registrato: 08/08/07 11:58
Messaggi: 11

MessaggioInviato: Gio Ago 09, 2007 7:56 am    Oggetto: Rispondi citando

p3scan e pop3p sono dei banali ma utili pop proxy.
Li uso da diversi mesi nella mia lan con buoni risultati di stabilità e consumo di risorse (pop3p in particolare).
Il loro funzionamento consiste nel ricevere le richieste dalla scheda di rete interna sulla 110 e redirigerle sulla 8110.
A questo punto il proxy forwarda tale richiesta verso la scheda di rete connessa alla wan per accedere al server pop di destinazione.
Niente di particolare ma molto utile in caso ci sia di mezzo un proxy web.

3proxy: http://3proxy.ru/
p3scan: http://p3scan.sourceforge.net/

Prerouting:
iptables -t nat -A PREROUTING -p tcp --dport pop3 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp --dport pop3s -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp --dport imap -j REDIRECT --to 8110
iptables -t nat -I OUTPUT -p tcp --dport 110 -j REDIRECT --to 8110
iptables -t nat -I OUTPUT -p tcp --dport 110 -m owner --uid-owner root -j ACCEPT
service iptables save

Saluti
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Ago 09, 2007 9:58 am    Oggetto: Rispondi citando

Mi sfugge il vantaggio. Se utilizzi un web proxy (tcp 80) ciò non dovrebbe influenzare il protocollo pop3 che viaggia sulla tcp 110. In cosa sbaglio?

Ciao
Fulvio
Top
Profilo Invia messaggio privato
barret



Registrato: 08/08/07 11:58
Messaggi: 11

MessaggioInviato: Gio Ago 09, 2007 3:30 pm    Oggetto: Rispondi citando

Io ho una classica conf del tipo eth0-wan e eth1-lan.
Faccio Web Caching (80 443) sulla eth1:3128.
Per il download della posta (eth0-110) utilizzo appunto un pop proxy (eth1-8110).
Esistono di certo altre soluzioni. Questa è solo quella che ho scelto io che ha anche il vantaggio di poter loggare le connessioni per fare troubleshooting ad esempio.

Saluti
Top
Profilo Invia messaggio privato
acastellani



Registrato: 25/07/07 10:45
Messaggi: 10

MessaggioInviato: Gio Ago 16, 2007 5:32 pm    Oggetto: Rispondi citando

fulvio ha scritto:
Mi sfugge il vantaggio. Se utilizzi un web proxy (tcp 80) ciò non dovrebbe influenzare il protocollo pop3 che viaggia sulla tcp 110. In cosa sbaglio?

Ciao
Fulvio

Non ho capito cosa dici, ma credo che sia colpa mia,,, Provo a spiegarmi.

p3scan:
Lo scopo per cui utilizzo un pop proxy e' quello di filtrare tutti gli accessi a server esterni di posta pop3 (porta 110), consentendomi di applicare Clamav e Spamassassin sui messaggi di posta privati che i miei utenti possono continuare a scaricarsi liberamente alzando in questo modo il livello di sicurezza per la rete interna. 3proxy non lo conosco, ma puo' senza dubbio essere migliore di p3scan. Sono soluzioni tipicamente facili da installare e molto utili.

Squidguard:
Lavorando in una pubblica amministrazione, pur garantendo la privacy degli utenti, sarei costretto ad "[...] utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list [...]". Squidguard nasce in tandem con Squid proprio per usufruire delle black list.

Sarg:
Nel caso eccezionale in cui si debbano fornire report sugli url visitati da un utente, Sarg in tandem con Squid fornisce prospetti ben fatti.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Ago 16, 2007 8:39 pm    Oggetto: Rispondi citando

Ora ho le idee più chiare e sono convinto dell'utilità di questi software.
Grazie
Fulvio
Top
Profilo Invia messaggio privato
acastellani



Registrato: 25/07/07 10:45
Messaggi: 10

MessaggioInviato: Ven Ago 17, 2007 8:56 am    Oggetto: Rispondi citando

fulvio ha scritto:
Ora ho le idee più chiare e sono convinto dell'utilità di questi software.
Grazie
Fulvio

Beh, se dovessimo iniziare noi a ringraziarti, non la finiremmo piu'... Wink
Per carita', Fulvio....

Un altro obbligo per la Pubblica Amministrazione sono i "[...] filtri che prevengano download di file musicali o multimediali": credo che in questo caso i filtri layer7 del firewall di ZS siano la strada giusta, non solo per bloccare e loggare gli accessi p2p (ottimo), ma anche per fare molto di piu' (bloccare facilmente video e audio over http RFC2616, ad esempio).

Insomma, credo che ZS potra' divenire una distro di riferimento per gli Enti pubblici locali (Comuni, etc. e non solo), sia per la sua semplicita' di installazione/amministrazione, sia per la sua (prossima) rispondenza ad importanti obblighi di Legge.

Ricapitolando, in aggiunta a quanto gia' in sviluppo posso consigliare:
- un pop3 proxy + Spamassassin e Clamav
- un gestore di black list per Squid (Squidguard)
- un generatore di report per Squid (Sarg)
- fault tolerance su piu' connessioni
- la gestione dei network objects e/o l'aggiunta di campi "Commento" qua' e la' (router, firewall, etc.) per semplificare la vita dell'amministratore
Per ora non mi viene in mente altro (...che sfacciato che sono... Smile )
Qualcuno ha altri consigli ?

Ho installato 2 ZS nel mio ente e mi sembra uno spettacolo: ha semplificato di molto il mio sistema informativo e mano a mano che le uso, ti potro' dare delle dritte.
La mia configurazione e praticamente un caso tipico nella PA: una LAN da proteggere, una DMZ con un server tuttofare e diverse ADSL.

Aspetto il source routing (con il load balancing ?) perche' l'utilizzo del solo default gateway anche per il traffico di risposta (multigateway) mi impedisce (credo) di usare soluzioni piu' ottimizzate.
Ti mando in pm il disegno della mia struttura, sicuramente e' migliorabile.
Ripeto, il mio e' proprio un caso tipico.

Ciao e grazie (a te!).

Andrea.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Ago 17, 2007 9:18 pm    Oggetto: Rispondi citando

I tuoi consigli e le tue esperienze sono molto graditi. Postale pure quando puoi ne terrò senz'altro conto nelle prossime release.
Spero che anche altri utilizzatori di Zeroshell facciano lo stesso.

Ciao
Fulvio

ps: il source routing è incluso nel modulo Net Balancer che sarà disponibile con la 1.0.beta7 di settembre.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it