Shunze 學園 - 搜尋結果

Shunze 學園 > 搜尋 > 搜尋結果

哈囉，還沒有註冊或者登入。請你[註冊|登入]

作者

文章

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》MTA mode吊詭的policy設定

在Sophos XG email protection的MTA設定中，有分inbound與outbound兩個不同方向的處理邏輯。
Inbound是指mail flow中收件者domain與protected domain相符時，所進行的郵件處理，
一般來說，就是外部mail server送信到做為spam閘道的XG時，XG進行了郵件掃描後，再寄給內部真正的mail server。

Ｏutbound則是指mail flow中寄件者domain與protected domain相符時，所進行的郵件處理，
一般來說，就是內部mail server到送信時，先送到XG做郵件掃描，再由XG往外送客戶的mail server。
而XG中“郵件加密”這個功能，只能對應到outbound這個方向。

那順子就好奇了，MTA mode的“SMTP route & scan policy”一個domain只能對應一條policy，
若一個domain同時要做inbound與outbound兩個方向的話，
那要怎麼做？

會這樣問主要是XG在收到郵件後，inbound、outbound兩個方向的routing有很大的不同，
inbound郵件在處理完後，會往內部的mail server送，
所以route by要選內部的mail server。

Outbound的部分，則是在XG處理過後，往外部真實的mail server送，
所以route by要選MX，透過DNS的解析，來找出目標domain的mail server。

在一個domain只能建一條policy前提下，
同一條policy怎麼可能對inbound/outbound兩個方向做不同的routing？

而policy中的protected domain在對應inbound時，指的是收件者domain，
在outbound時，指的又是寄件者domain，

怎麼同樣的policy一下子是對應收件者domain，一下子又變成寄件者domain？
兩者完全是相反的耶！
Sophos的MTA真的是讓我超頭大！

在開case給原廠，往來周旋數天後，原廠總給出滿意的答案了(case ID: 06166848)。
原來MTA mode的“SMTP route & scan policy”確實對應到inbound與outbound兩個方向，
當收件者domain與policy中protected domain相符時，這條policy做的就是inbound方向的處理；
反之當寄件者domain與protected domain相符時，這條policy做的就是outbound方向的處理。
MTA的policy會主動根據收件者與寄件者domain來做切換！

那萬一收件者與寄件者都是相同domain時，MTA又會怎麼判斷？
這時收件者會有較高的優先權，因此進行的會是inbound方向的郵件處理。

從原廠回覆來看，雖然解決了同一個domain怎麼會一下指向收件者，一下子又指向寄件者的困惑，
但確認in/outbound方向後的route by指向還是很有問題。

因為policy的內容在建立後，等同是寫死的，
route by若指向內部mail server，只要套用這policy，不論in/outbound都是導向內部mail server；
route by若指向MX解析，套用這policy的in/outbound都會透過DNS的MX record來做解析，
這不是怪怪的？？？

對應到一開始的問題，
同一個domain，可以同時做inbound與outbound兩個方向的郵件處理嗎？

在Sophos不認為這是個問題，也不打算把in/outbound做個分拆處理，
硬是要把in/outbound兩個方向的mail flow以同一條policy來處理，
我認為是有風險的。
因為它真的混淆不清！

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2023-03-07, 15:55

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》routing defer (-51):retry time not reached

最近客戶遇到一個奇怪的問題，當XG以內建的MTA寄信時，總會卡在Mail Spool中，
非得要在Mail Spool中勾選卡住的郵件，按下retry，
然後...
卡住的郵件就能成功送出了！！

郵件卡住的錯誤訊息如下。

routing defer (-51) DT=0.000s:retry time not reached

於此狀態下，即便等了幾天，卡住的郵件還是不會送出；
怪的是按下retry，卡住的郵件立馬就送出去了...

即使刪除Mail Spool中所有卡住的郵件，然後再測一次，結果還是一樣...
這到底是怎麼一回事啊？

開case給原廠處理也沒用，拖了幾天還是沒有進度。
最後在討論區中發現一篇有效的處理方法。

該文的作者發現，XG做為MTA時，並不是透過smtpd服務，而是exim服務。
而exim服務卡住時，就必需透過以下advanced shell指令，清空卡住的郵件才能根本解決問題。

# service smtpd:stop -ds nosync
200 OK
# exim -bp | awk '{print $3}' | while IFS= read -r line; do
> exim -Mrm $line
> done
下完done後，就會花點時間去刪除卡住的郵件。
# rm /sdisk/spool/output/db/*
# service smtpd:start -ds nosync
200 OK

清除exim卡住的郵件後，XG的MTA果然能夠成功的寄信出去了～

PS.
開case給原廠，原廠support後來提出的解決方式如下，一併提供給大家參考。

rm -rf /var/spool/output/db/retry*

參考資料
MTA troubleshooting guide

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2023-02-10, 17:08

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》18版後的路由優先順序

在17版前多WAN的情境下，對外要走哪個WAN？
可以直接在防火牆規則中指定，相當直覺方便～

但在18版後，NAT與防火規則分拆開來，
對外要從哪個WAN出去變的麻煩多了...

要從哪個WAN出去，18版後只能在policy routing中額外去定義。
那麼policy route，vpn route跟static route三種路由的優先順序，在18版中又有什麼變化呢？

在XG中，可透過以下指令於console設定static route，VPN與policy route的優先順序。

system route_precedence set static vpn sdwan_policyroute

17版預設的優先順序為policyroute vpn static，
18版後預設的優先順序則改為static sdwan_policyroute vpn。

問題來了，18版中預設的路由優先順序是否符合一般情境？

順子認為，在只有一條WAN，且沒有site to site VPN的情境下，
維持預設設定是OK的，畢竟環境單純。

但若有多條WAN，內部網路或主機會依不同需求透過對應的WAN連外，且有site to site VPN的情境下，
這預設的路由順序是要需要調整的。

在有site to site VPN的情境下，VPN tunnel兩端網段的通導最為重要，
所以VPN要設定為最優先。

若內部有其它router來通導到內部其它網段，而policy route只是用來指定對要走的WAN，
那麼static route的優先權要大於policy route，
不然去到內部其它網段的路由會被policy route搶走而從指定的外網出去。

總結來說，順子建議18版後的路由優先順序可調整為vpn static sdwan_policyroute，
這樣的優先順序比較符合大部分的情境。

PS.
17版就沒有這些困擾，Sophos真的是在搬磚砸腳！
不知道會不會有一天，又把NAT跟Firewall rule綁在一起了...

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2023-01-31, 17:33

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》Proxy mode下XG發出過期憑證

客戶於Proxy mode下，出現了XG發出過期憑證給外部真實站台的問題。
由於憑證過期，用戶端的瀏覽器無法成功瀏覽外部站台。

網路上查到這是一個bug(NC-100078/NC-100265)，
可以透過清除 /var/certcache/ 目錄下的憑證快取．來解決此問題。
但又不建議刪光此目錄下的所有快取，所以我就開了case詢問原廠。

原廠給了以下advanced shell的指令，
透過以下指令來清除快取，再重啟web proxy服務來排除此憑證過期問題。

touch /var/certcache/.clear_all_certs_on_reload
service -ds nosync awarrenhttp:restart

經客戶測試後，問題順利排除！
順子留下此筆記。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2023-01-09, 10:55

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》XG連不上了，怎麼辦？

Sophos XG在V18版後做了很大的變革，
NAT規則自原本防火牆規則分拆後，造成很多規則設定上的問題，
甚至有幾個客戶因為NAT規則的錯誤配置，而導致XG的失聯！

原本我以為在這情況下，只能恢復出廠預設值，然後再把備份的組態檔倒回去。
(這時候你就知道組態備份密碼與SSMK的重要性了吧!)

不過昨天客戶讓我知道了另一種更有效率的做法 - enable appliance access。

其實console下的這個指令，我在一開始接觸Sophos XG時就知道了。

system appliance access enable

我知道這指令在執行後，可以無視Device Access中的設定，
直接放行介面IP的連入權限。

但這指令 enable 後，會丟棄所有外出到internet的流量，
所以在正常運作情況下，appliance access是要保持在disable這個狀態的。

我以為V18版後，錯誤的NAT規則會持續在XG中運作發酵，
即便是 enable appliance access，也無濟於事...

但客戶讓我知道即便在錯誤的NAT規則作用下，
還是能透過 enable appliance access 來放行介面IP的連入能力，進而去修復錯誤的NAT規則，
完成後再將appliance access disable即可。

這真是很重要的一個資訊啊！
(當然問題發生時，你還是必需找到console線直連XG，才有辦法進console去下達這個指令。)

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2022-11-25, 15:03

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》揪出ATP事件中真正的連線client

Sophos的ATP模組能在traffic透過XG做routing時，即時的過濾攔阻有害連線，
但在網域環境中，最頭痛的就是DNS Client的解析問題。

雖然惡意domain的DNS解析被XG的ATP攔下來了，
不過網域中client的DNS是指向內部的DNS Server，
當client欲連到惡意domain時，第一步的DNS解析工作會交給內部DNS Server來進行，
內部DNS Server沒有惡意domain的IP對應資訊，因此會再向上層DNS主機要求解析，
以至於ATP攔截事件中，攔的來源IP往往都是內部的DNS Server，而不是直正的DNS Client...

找不出來真正有問題的DNS Client，不是DNS Server也不是ATP的問題，
它們都正常的執行交付的工作．這是網域環境架構下的限制。
那麼在這樣的架構下，有沒有辦法揪出真正的DNS Client呢？

順子想到了一個做法，不過它需要DNS Server的配合。
既然DNS解析工作是由內部的DNS Server來進行，那麼我們就直接在DNS Server上建立一筆該domain的IP對應record，
例如將惡意domain msdnupdate.com 對應到 10.199.199.2 這個沒在使用的IP。
如何設定？Windows的DNS主機可以參考這一篇的做法。

然後在XG上啟用一個閒置介面，配置一個zone與這個假IP同網段的IP，例如 10.199.199.1/29，
接著設定內部到這個zone(或IP)的阻擋規則，並勾選log記錄，
這樣當內部電腦欲連到這個惡意domain時，DNS Server就會指向這個假IP，
而電腦依照DNS解析出來的結果，透過XG routing要連到這個假IP時，就會被XG上的阻擋規則所記錄下來，
我們只要去查看log，就可以清楚知道有哪些內部IP試圖連到這個惡意domain，揪出真正的DNS client！

為了避免連線被ATP所攔截，設定完成後，
請將這個惡意domain加到ATP的exception中，做例外放行，由設定阻擋規則來進行攔阻。

這個方法在實做上有幾個重點要注意。

綁IP的網卡必需為up狀態，簡單來說就是這張網卡必需接上switch，
這樣介面路由才會運作，導向假IP的流向才會routing到這個介面，進而被防火牆規則阻擋而留下記錄。
若只是設定好IP資訊，但網卡介面為down，則介面routing不會生效。

網卡介面可以是一般網卡、VLAN或是Alias IP，
若使用Alias IP來設定，那封鎖記錄的防火牆規則需小心定義，以免連帶擋掉所有正常流量。
用來補抓DNS Client IP的防火牆規則必需是阻擋類型，
若採用放行規則，則該網卡介面必需真的接到一台設定假IP的主機才會留下記錄，
大大的增加複雜度。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2022-09-20, 14:14

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》通行費詐騙

5/7一早，順子收到了一封通行費即將到期的簡訊通知，
要順子立即透過簡訊中的連結，下載APP來線上繳費。

順子的ETC是儲值自動扣繳的，印象中還有錢啊！
這個29元的費用，是否意味著順子ETC裏帳戶裏已沒錢了？

透過網路查詢後，
帳戶裏還有七百多元啊！
那麼這個連結是什麼？？

複製連結後，發現它會下載一個apk檔，
一般來說，官方的APP會叫你到市集去下載，
放在市集上的APP基本上也都經過了Apple或Google的驗證，
安全性層基本上比較沒有問題。

這個叫user自己下載apk檔來安裝的，風險很高！
再加上順子帳戶裏明明有錢，卻跟你說費用未繳，明顯有鬼！
更詐的是到期日就是簡訊發送當日，擺明了要利用使用者擔心過期罰款的心理，
來詐騙使用者上勾，真是可惡啊！

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2022-05-09, 10:35

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》SSLVPN客戶端軟體EoL？

Sophos公告，基於Open VPN的SSLVPN用戶端軟體(紅緣燈版)將於2022年1月31日EoL。

原本已下載安裝的紅綠燈版SSLVPN軟體依然可以使用，
但後續在User Portal上提供的VPN撥接軟體，將會由Sophos Connect來取代。

這意謂著Sophos在Windows上放棄了Open VPN這個公版軟體，
改推自家開發可同時支援IPsec VPN的Sophos Connect軟體。
但在其它系統上，例如Mac，行動裝置上倒是沒有Sophos Connect的對應方案，
所以還是要靠Open VPN。

換成Sophos Connect對Windows User來說有什麼影響？

Sophos Connect不支援Win7，所以若你還是Win7的使用者，還是保留你的紅綠燈版軟體。
不然就去下載公版的Open VPN來使用吧。
Sophos Connect不支援多帳號切換。
紅綠燈版的軟體支援多帳號組態匯入，
同一個撥接IP在匯入多個組態後，您可以自由切換要用哪個帳號來進行SSLVPN的撥接。

但Sophos Connect不行！
一個目的地IP只能有一個組態檔。
安裝Sophos Connect後，使用者組態的取得無法透過User Portal的Download Configuration for Windows來安裝，
必需透過Download Configuration for Other OSs來下載組態檔，

然後再由Sophos Connect匯入ovpn格式的組態檔。

其它就沒有太大差別了，畢竟它是一個撥通的媒介，對應的使用權限還是在XG上控制。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2022-02-18, 17:11

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

《分享》V18的Direct Proxy設定

在V18之後，Sophos把原本隱藏的0號阻擋規則強制顯示了！
而這條規則在Direct Proxy的使用上又會造成什麼影響？
就讓順子來實測看看。

經實際測試，將可正常運作的V17 Direct Proxy升級到V18後，
原本user可以正常開啟的網頁，現在都打不開了！

原因就跟V17版一樣，當清單最後有一條阻擋http/https的規則時，
就必需在這阻擋規則的前面，加上一條套用Deny All的Web filter的http/https放行規則，
否則所有網頁都將無法正常開啟！

在預設阻擋規則前，加上Deny All Web filter的http/https放行規則後，網頁就可以正常開啟了，
不僅可以依照Proxy規則中的Web filter來進行網頁控管，
而且log中，也可以看到Proxy的Web filter log記錄。

而端點沒有掛上proxy，就無法打開所有網頁。

基本上V18的Direct proxy的設定就沒有太大問題了。
(除了那個整個目標網段無法在web exception中放行的問題無法解決以外...)

參考資料
Resolve issues related to web proxy when...l rule is added

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2022-01-25, 16:31

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2349
shunze 離線

SD WAN Policy Route

順子在這篇文章一開始就提到自V18後“將原本單一firewall rule可以完成的工作，硬是分拆成三種規則來協力達成”，
現在有firewall rule，有NAT rule，那第三種規則是什麼？

第三種規則就是SD WAN Policy Route。

原本在V17中，可以直接在firewall rule裏指定這條規則要透過哪一個WAN port連外，
這個功能在V18中也被剝奪了...

在V18版中，多WAN的情境下，要指定透過哪一個WAN連外，
現在只能透過SD WAN Policy Route來設定了...

另外，若您是由V17升版到V18，在這個SD WAN Policy Route頁面還可以看到舊設定被移轉過來的對外組態設定。

這個移轉過來的組態設定只提供修改與刪除的功能，
要建立新的對外端口設定，就只能透過新的SD WAN Policy Route來建立了。

最後提醒一下，若有使用SD WAN policy Route的話，順子建議參考這篇調整路由的優先順序為vpn static sdwan_policyroute，
因為預設的路由優先順序在有site to stie VPN與靜態路由的情況下是不適合的。

我們姑且不論V18在firewall UI上不便的地方，
但規則一拆三，怎麼看都是化簡為繁，有違Sophos的初衷！

不過在V17就要在2021/11/30停止支援的情況下，
或許也該是時候，挑個適合的時間升級到V18了...

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2021-10-06, 15:39

跳到:	顯示從 1 到 10 在所有的 2049 個結果中. 12345...»