Yang Terlupakan

Berikut ini image virtual machine ova OpenWRT 22.03.5 X86, 2 core processor,  2g ram,  1g hdd ide,  2 nic  bisa untuk vmware player atau virtual box silahkan download disini Salam Semoga bermanfaat

Langsung setelah lama tidak mengikuti dns server bind versi baru mulai versi 9.17 sudah support doh dan dot, di sini memakai bind 9.18 di debian 11 tambahkan repo deb https://packages.sury.org/bind/ bullseye main pastikan gpg sudah di add dan install bind # apt install bind9   tambah di bind konfig nya /etc/bind/named.conf tls server-tls {   cert-file "/etc/bind/ssl/cert.crt";   key-file "/etc/bind/ssl/privatekey.pem";   dhparam-file "/etc/bind/ssl/ssl-dhparams.pem";   protocols { TLSv1.2; TLSv1.3; };   ciphers "HIGH:!kRSA:!aNULL:!eNULL:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!SHA1:!SHA256:!SHA384";   prefer-server-ciphers yes;   session-tickets no; }; options {     directory "/var/cache/bind";     dnssec-validation auto;     listen-on port 853 tls server-tls { any; };     listen-on port 443 tls server-tls http default {any;};     forwarders {         8.8.8.8;         1.1.1.1;         };     recursion yes;     allow-query     { any; }; }; c

 Langsung saja di sini menggunkan openvpn di debian dan Mikrotik client ada pun persyaratan untuk bisa terhubung dengan mikrotik sbb 1 protocol harus tcp, udp blm support 2 tls-auth tidak support 3 cipher harus AES-128-CBC 4 authentication  SHA1 atau md5 5 compression tidak support Pastikan server di konfigurasi memenuhi persyartan tersebut karena kemampuan mikrotik baru sampai disitu, jadi sayang karena menurunkan keamanan server Server side Gunakan sertifikat untuk client yang telah di buat, ada ca.crt, mikrotik.key dan mikrotik.crt sebelum digunakan mikrotik.key harus di convert ke PEM format $ cat mikrotik.key mikrotik.cert > mikrotik.pem lalu upload sertifikat kedalam mikrotik – ca.crt – mikrotik.crt – mikrotik.pem   Setup Mikrotik Client Import di system mikrotik. /certificate import file=mikrotik.crt import file=mikrotik.pem import file=ca.crt   /interface ovpn-client add \ name=openvpn connect-to=103.1.1.1 auth=sha1 cipher=aes256 \ certificate=mikrotik.crt_0 profile=default

 Beberakali mengamati log file di mail server masih ada attachment file yang lolos dari spammer, sebenarnya file ini berbahaya karena file executable atau exe yang di rename menjadi PT001060523.PDF.rar sehingga masih bisa lolos di anti spam baik spamassassin dan amavis-new dah hal ini bisa mengelabui user si penerima email. Dengan demikian kita bisa meng improve mail server kita dengan menambahkan check attachment dengan double extension tsb 1. bikin file /etc/postfix/header_custom     di isi regex sbb      /name=[^>]*\.(PDF.rar)/   REJECT      /name=[^>]*\.(PDF.zip)/   REJECT 2. root@mail: postmap /etc/postfix/header_custom 3. Tambahkan header_checks = regexp:/etc/postfix/header_custom di /etc/posfix/main.cf 4. restart server posfix systemctl restart postfix.service adapun hasil log nya sbb Jun  5 10:08:17 mail postfix/cleanup[54284]: 4QZJTD42Zwz7tdk: reject: header Content-Type: application/vnd.rar; name="PT001060523.PDF.rar" from sender3-of-o58.yy.com[136.143.yy.zz

Melanjutkan artikel yang lalu Squid Proxy ssl bump untuk transparent HTTPS ada beberapa kondisi koneksi tidak bisa berjalan normal lewat squid bump ini Anda mungkin perlu menambahkan pengecualian untuk Bumping SSL dalam kasus berikut:      Perangkat lunak menggunakan protokol selain HTTPS (seperti SSH, RDP, atau VPN).      Perangkat lunak atau sumber daya web menggunakan protokol WebSockets atau HTTP/2.0.      Algoritme enkripsi nasional (seperti GOST atau SM2) digunakan untuk mengakses sumber daya web.      Perangkat lunak menggunakan penyematan sertifikat server.      Perangkat lunak atau sumber daya web memerlukan otorisasi berdasarkan sertifikat SSL klien. Yang pasti whatsapp app dan whatsapp web tidak bisa konek kalau pake squid ssl bump Untuk itu kita bisa membypass nya atau membuat pengecualian nya  Untuk menambahkan pengecualian SSL Bumping: Buat file bernama /etc/squid/donotbump.txt berisi daftar nama domain sumber daya web dan host yang ingin Anda tambahkan ke pengecualian.

Karena ada ip selalu mencoba kirim spam, kita bisa mem block IP nya tersebut setelah beberapa kali ditolak karena ip reputasi nya tidak baik, ip tersebut tidak punya ciri legitimate mail server yang baik dan benar, parahnya lagi ip tersebut mencoba konek sebanyak 125 kali kurang dari 24 jam terakhir ke salah satu [email protected] dan potongan log nya sbb. dan pastikan fail2ban sudah berjalan normal Mar  5 02:24:02 antispam postfix/postscreen[112526]: CONNECT from [117.66.xx.xx]:56802 to [10.10.0.31]:25 Mar  5 02:24:02 antispam postfix/dnsblog[112529]: addr 117.66.xx.xx listed by domain rbl.org as 127.0.0.2 Mar  5 02:24:02 antispam postfix/dnsblog[112533]: addr 117.66.xx.xx listed by domain rbl.org as 127.0.0.3 Mar  5 02:24:02 antispam postfix/dnsblog[112533]: addr 117.66.xx.xx listed by domain rbl.org as 127.0.0.4 Mar  5 02:24:02 antispam postfix/dnsblog[112533]: addr 117.66.xx.xx listed by domain rbl.org as 127.0.0.2 Mar  5 02:24:02 antispam postfix/dnsblog[112536]: addr 117.66.xx.xx l