Cliente criando muitas conxeões - porta 25

[tmelooliveira]

Ola amigos, venho mais uma vez recorrer a ajuda de vocês..

Alguns clientes meus estão fazendo muiiiitas conexões na porta 25 (smtp)..

Isso esta acontecendo direto, chega a dar mais de 300 conexões.. (um unico cliente)..

Todos sabem que é uma porta complicada de limitar por causa dos e-mails..

A pergunta é, será que é algum compartilhador p2p? ou um virus??

Segue imagem de um torch abaixo para voces terem uma ideia melhor..

grato desde já, Tiago

[alexandrecorrea]

bloqueia.. é virus !!

[geovane]

Sempre usei a regra abaixo, que limita o número de conexões de clientes na porta 25 e bloqueando o IP por 1 dia.

/ip firewall filter
add action=drop chain=forward comment="Limita conexoes de clientes em 50" \
connection-limit=50,32 disabled=yes protocol=tcp tcp-flags=syn
add action=drop chain=forward comment=Spammer disabled=no dst-port=25 \
protocol=tcp src-address-list=spammer

[tmelooliveira]

Essa limitação não vai prejudicar os e-mails?

grato Tiago (ps.: eu bloqueei o cliente e pedi para que formatace o computador.. resolveu o problema.. mas quero estar preparado para problemas futuros..)

grato Tiago

[geovane]

Não tem problema, o IP dele vai ficar na lista por 24 horas e soh vai dropar a porta 25, o resto vai funcionar, ai ele vai reclamar que não está conseguindo enviar email ai vc avisa, sacou?

[igornunes]

opaa
ja tive esse problema em um cliente...
mas la era realmente q eles enviavao muitos emails mesmoo
melhor maneira de se corrigir isso é ver a demanda do cliente, para ver se ele esta realamente enviando emails ou é virus
flws

[tmelooliveira]

E ai pessoal... meu problema voltou e agora pior..

para vocês terem uma ideia fiz a seguinte regra no firewall filter:

add action=drop chain=forward comment=VIRUS PORTA 25 disabled=no dst-port=25 \
protocol=tcp src-address=IP DO MEU CLIENTE

o que acontece.. ele conta os pacotes mas não esta acabando de vez com o trafego nesse cliente.. e para piorar a situação esse mesmo cliente esta fazendo um monte de conexões tbm na porta 445..

Alguem ai tem uma luz??

segue anexo abaixo..

[alexandrecorrea]

as conexoes vao continuar aparecendo ai no seu gateway... normal.. mas elas NAO vao passar adiante..

este cliente voce deve notiica-lo que ele esta com virus... a porta 445 tambem eh utilizada por alguns worms que exploram falhas no windows !!

faça o bloqueio dela tambem.. alias.. faça o bloqueio GERAL destas portas:

135 ate 139 TCP E UDP
445 TCP e UDP !

e controle a porta 25 !!

[tmelooliveira]

Valeu.. o problema é que ta consumindo banda.. estou fora agora vou chegar no escritorio e vou ver se a origem do consumo é isso ou outras coisas..

volto a postar aqui!

[thenet]

se esta barrando pelo firewall, nao consome a banda gateway- operadora, só a banda cliente-gateway. ai não há muitos problemas.

aqui tenho muito problema com isso, bloqueamos também, fora o bloqueio de conexões simultaneas (em geral) que ja barraria isso.

[alexandrecorrea]

pode fazer o bloqueio no cliente tambem caso o AP tenha firewall !!

[tmelooliveira]

O meu maior problema é que nunca consegui implantar um limite de conexão simultanea.

Ja tentei de tudo, mas sempre que limito a navegação fica ruim..

Para não usar range cheguei a criar uma regra para cada cliente... e mesmo assim ficou estranha..

Alguem pode me conseguir uma solução que funcione?

Abraços