Zyxel Switch 防止ARP Spoofing

最近客戶環境不斷出現無法上網的狀況,查到最後原因就是環境有ARP Spoofing
通常ARP Spoofing 有兩種狀況
1.欺騙Gateway Client 的Mac-address
2.欺騙Client Gateway的Mac-address

比較麻煩的解決方案
1. 在Gateway上寫入Static ARP entry
2. 在Client上寫入Gateway ARP entry

但是這樣有幾個問題會發生
1. 區域網路的環境全部都是DHCP,若Client的設備會不定期變更,就無法寫入Static ARP entry
2. 不斷要更新每個Client的Mac-address,造成管理上的不便

為了解決這兩個問題,找了一下資料若從Switch下手,目前比較有效的方式如下:
1. DHCP snooping
只允許Switch 特定Port 可以接收DHCP封包(offer,ack.等),其餘Port不接受DHCP封包
並且會產生DHCP snopping database (也就是所謂的IP MAC Port紀錄)

2. IP Source Guard
透過dhcp snooping database 來取得每一個Port的IP,這樣可以解決Client自行設定IP問題所造成IP衝突

3.Dynamic ARP Inspection
透過dhcp snooping database 來取得每一個Port的Mac-address,可查看每一個Port Source Mac-address 是否符合dhcp snooping database

使用Zyxel Switch的設定方式如下:
1.網路架構
2.設定DHCP snooping
3.設定IP Source Guard
4.設定Dynamic ARP Inspection

閱讀更多Zyxel Switch 防止ARP Spoofing

Barracuda SPAM Queue & Messages Size Scan

常會有人問到Barracuda SPAM Queue 信、何謂Inbound & Outbound 、設備的儲存空間能存放多少,多久會retry一次信件…等。這邊一次做個整理全部寫出來,也方便我自己。

1. 何謂Inbound & Outbound信件
2. 何謂Inbound Queue & Outbound Queue信件
3. Queue 信柱列時間
4. 設備儲存信件空間容量
5. 設備掃描容量大小
6. 設備郵件日誌(Message Log)存放天數

閱讀更多Barracuda SPAM Queue & Messages Size Scan

Mail2000 IPv6 設定

因為最近也有客戶有需求在Mail Server上執行IPv6,所以特別詢問了Openfind工程師是否已經支援IPv6,的確Mail2000也是支援IPv6,接下來就不多說廢話了,直接開始設定IPv6

1.確認系統是否支援IPv6
2.設定IPv6 IP & DNS IPv6
3.測試IPv6運作
4.設定Mail2000支援IPv6
5.測試Mail2000 IPv6服務運作是否正常

閱讀更多Mail2000 IPv6 設定

CentOS Bind DNS Log

上篇完成了DNS的架設,開始要查看Log的時候,發現DNS的Log是又臭又長,且預設竟然跟/var/log/messages混在一起,當要查Log的時候會覺得眼花撩亂,上網查了一下資料,這是有解決方案的,趕快記錄下來。

主要步驟如下:
1. 設定named.conf
2. 查看LOG