Подскажите, помимо check_client_access (проверка ip) в новых версиях добавили «поддержку из коробки» для sender access (проверка отправителя) и recipient access (проверка получателя)? Последний раз ковырялся около года назад в версии 8.6, возможность указать check_client_access была, по-моему, и до 8.5, а вот для остального приходилось вручную править smtpd_recipient_restrictions.cf добавляя check_sender_access lmdb:/opt/zimbra/conf/sender_access
check_recipient_access lmdb:/opt/zimbra/conf/recipient_access
чтобы при генерации файлов во время перезапуска зимбры, данные строчки добавлялись в smtpd_recipient_restrictions конфигурационного файла main.cf постфикса. Естественно это было совсем неудобно, потому что файл приходилось заново редактировать после каждого обновления зимбры.
Обычный стандартный Windows Firewall 100% справляется с этой задачей, в отличие от фиксов и сторонних утилит.
По умолчанию на исходящий — блокирование всего трафика, отключите все правила, оставьте только нужные (DNS DHCP), далее выпускайте в интернет только те приложения, которые должны это делать — к примеру браузер. Никакого лишнего трафика вы больше никогда не увидите.
Чтобы программы не включали правила самостоятельно, настраивайте фаерволл через GPO (недоступно для home), в GPO есть опция игнорирования «нормальных» правил, т.е. правила добавленные любыми приложениями работать не будут, будут работать только те правила, которые вы добавите через GPO.
По началу немного придется понастраивать правила, но у меня список правил не меняется уже года 2, время от времени просто добавляю какую то игру, чтобы поиграть по сети.
Мы дождёмся февраля 2022 года, когда окончится оплаченный срок, и мы получим наши домены обратно, даже если их придётся выкупить у кого-нибудь, но это будешь не ты.
Не надейтесь, была точно такая же ситуация 1 в 1, когда срок закончится ваш домен выставят на продажу за астрономическую сумму как популярный.
Интересно если бы они не убрали оплату дополнительных функций, Apple заблокировало бы все сайты на wordpress, как в случае с epic (запрет поддержки unreal engine почти то же самое). И как вообще работают приложения интернет-магазинов, к примеру я пиццу заказал через приложение — они платят apple 30% (или фильм на нетфликсе)? Только цифровые считаются? Почему бы тогда не отправлять «дополнительные функции» на физическом носителе =)
Я специально для этого добавил в конце " (и да я раздаю на других устройствах без впн, оссобенно раздачи где мало сидеров)." У меня дома микротик заварачивает весь трафик в ipsec впн со всех устройств, и не очень удобно геммороиться каждый раз для раздачи. Если я качаю какую то раздачу и вижу там 1-2 сида, я скачиваю её на свой seedbox сервер и раздаю там, на многих раздачах сейчас я единственный сидер.
Это частое явление, правообладатели мониторят пиров на популярных раздачах и пишут подобные письма. Многие типа DO позволяют рассылать в автоматическом режиме подобные письма, у многих, похоже, есть abuse api, через который правообладатели рассылают это все без участия хостера. На самом деле, это не особо проблема — главное правило не раздавать, настройте торрент клиенты, чтобы они не раздавали и скажите всем остальным пользователям впн настроить так же и проблем не будет. Пара тройка таких писем в год не вызовет проблем, проблемы будут когда кто-то в течении долгого времени раздает через ip хостера (ну и регистрируйте не на себя а на фейки, на всякий). Постоянно качаю торренты через DO, Vultr, но не раздаю — 5 лет без проблем. (и да я раздаю на других устройствах без впн, оссобенно раздачи где мало сидеров).
А почему выбрали настройку через ipsec, а не swanctl? Я года 2 назад на него переходил, уже всех деталей не помню, но вроде тогда уже в документации упоминалось что старая настройка «deprecated» и скоро поддерживаться не будет. Минусов у swanctl нет, реализуется все тоже самое (просто другой синтаксис файлов конфига), есть дополнительные возможности в плане статистики и управления, swanctl, вроде, быстрее (переписан с нуля а не форк), и, вроде бы, новые фичи пиляться только для swanctl сейчас.
Я же про это и говорю, если трафик завернуть в https — это будет https трафик, но если просто openvpn повесить на 443 порт — он легко детектится, sstp не отличается от обычного https трафика (вы даже можете работать через обычные https прокси, что важно в корпоративном сегменте), даже если зайти через браузер там будет стандартная заглушка, конечно, я не исключаю, что можно вычислить при этом по сигнатурам, но это куда сложнее и выглядит как обычный https. Возмите любые отели — sstp (и другие кто заворачивает в sstp) работает всегда и везде, их и нужно «рекламировать», а не тех, кто работает на 443 порту.
Почему в подобных статьях никто не упоминает протоколы, которые действительно работают, к примеру sstp он открыт. Что может быть проще, чем прикинуться обычным https трафиком. Есть свободные реализации типа softether (не самый удачный пример, но есть и другие, которые заворачивают трафик в https). Есть и vpn over DNS и поверх icmp в совсем крайних случаях, но всегда пишут про бесполезные сервисы, которые легко заблокировать или по которым легко вас легко вычислить (или упоминаются сервисы, которые собирают всю инфу о вас для рекламы, которую передают потом всем подряд).
вот вот, многие пользователи наверняка думают, что я не хуже волшебник, когда я подхожу к их компьютерам и все магическим образом начинает работать правильно, но все почему то вспоминают только о Гарри Поттере (мне сегодня 10 человек написало про день рождения Гарри Поттера, но почти никто не вспомнил про день сисадмина).
С праздником! Давно уже такое ощущение, администрирование почти вымерло в мелких компаниях, теперь можно обойтись облачными сервисами бесплатно, так что системным администраторам или идти в крупные, как раз поддерживать облачные сервисы, или девопсами.
Тоже была постоянная проблема, но я как то сел и разобрался с IE только чтобы не ставить яндекс браузер. Чтобы заставить IE нормально работать, к примеру в налоговой, добавляем адреса в список доверенных, если что от не работает (обычно адреса не заполняются) тыкаем F12 — Эмуляция и проверяем «режим документов», должен стоять «11» (или EDGE, в общем последний), а не «9». Пара лет в нескольких организациях — вроде нормально.
Хмм, ни разу не слышал про playkey, но вот playstation этим занимает уже довольно давно — для запуска игр старых поколений ps, более того, вы так же можете стримить со своей ps4 на pc или телефон.
Вот вообще нахрена они эту проверку сделали, она просто проверяет доступность мс сервера, в ограниченной корпоротивной сети почти всегда «нет интернета» и начинаются звонки, когда пользователи вдруг замечают и думают что не работает что-то.
Кроме FF и нет вариантов особо, от телеметрии в FF пока спасает github.com/ghacksuserjs/ghacks-user.js (хотя они там тоже намудрили, многое нужно менять под себя), а плагины типа temporary containers вообще сказка, так должны работать по умолчанию все браузеры, но да, капчу замучаетесь вводить. Гугл у меня каждый раз капчу спрашивает для каждого нового контейнера, с другой стороны это показывает эффективность этого плагина.
Конечно приходится заходить в другие поисковики, если товары/цены в России — яндекс маркет, еда поблизости — гугл или яндекс карты, но большая часть поиска у меня это по работе или развлечениям (на англйиском в основном), и тут, на мой взгляд DDG выигрывает в большинстве случаев, как минимум меньше сайтов рекламного характера и перепостов. Если грубо 80% поиска у меня DDG, 15% гугл и 5% яндекс.
Скорее всего вообще не кликаю, только просмотры для сайта, сам я её просто игнорирую. Не припомню рекламу, которая могла бы заинтересовать (да и вообще вот так сходу даже не назову что последнее видел, просто фильтруется на подсознательном уровне), обычно если что-то необходимо просто иду уже в знакомые, удобные мне сервисы/магазины.
Ах да вспомнил последние рекламы, админю несколько мелких компаний, у них корпоративня почта на яндексе и там вырвиглазная реклама чего попало в обход блокировщиков, как то надоело и везде переключился на «легкую версию», там рекламы нет, заодно и тормоза прекратились, когда надолго оставляешь открытую вкладу яндекс почты на удаленке, сжирает по 1Гб оперативки в ff.
check_sender_access lmdb:/opt/zimbra/conf/sender_accesscheck_recipient_access lmdb:/opt/zimbra/conf/recipient_access
чтобы при генерации файлов во время перезапуска зимбры, данные строчки добавлялись в smtpd_recipient_restrictions конфигурационного файла main.cf постфикса. Естественно это было совсем неудобно, потому что файл приходилось заново редактировать после каждого обновления зимбры.
По умолчанию на исходящий — блокирование всего трафика, отключите все правила, оставьте только нужные (DNS DHCP), далее выпускайте в интернет только те приложения, которые должны это делать — к примеру браузер. Никакого лишнего трафика вы больше никогда не увидите.
Чтобы программы не включали правила самостоятельно, настраивайте фаерволл через GPO (недоступно для home), в GPO есть опция игнорирования «нормальных» правил, т.е. правила добавленные любыми приложениями работать не будут, будут работать только те правила, которые вы добавите через GPO.
По началу немного придется понастраивать правила, но у меня список правил не меняется уже года 2, время от времени просто добавляю какую то игру, чтобы поиграть по сети.
Не надейтесь, была точно такая же ситуация 1 в 1, когда срок закончится ваш домен выставят на продажу за астрономическую сумму как популярный.
f-droid.org/en/packages/com.simplemobiletools.contacts.pro
есть версия в google play, но она платная (в fdroid бесплатно после установки f-droid.org/en/packages/com.simplemobiletools.thankyou, но удалены все блобы google).
Удобна тем, что контакты подтягиваются в других приложениях simple tools ( www.simplemobiletools.com ) — календаре, звонилке и пр.
Ах да вспомнил последние рекламы, админю несколько мелких компаний, у них корпоративня почта на яндексе и там вырвиглазная реклама чего попало в обход блокировщиков, как то надоело и везде переключился на «легкую версию», там рекламы нет, заодно и тормоза прекратились, когда надолго оставляешь открытую вкладу яндекс почты на удаленке, сжирает по 1Гб оперативки в ff.