+ Responder ao Tópico



  1. #1

    Padrão Problema com regra para porta 25

    Bom dia,

    Tenha um Servidor de emails em um IP "X" esse mesmo IP é usado como Gateway da rede, então o que esta acontecendo... - Meu servidor de email esta sendo listado em uma lista CBL, esta sendo alegado que estamos infectados e que micros na rede interna estaõ sendo usados para enviarem um grande volume de email, spans, trojans, etc, o que é aconselhado por essa lista é o bloqueio de envio de emails pela porta 25 pelos hosts, mas não posso bloquear o envio para o servidor de emails que esta no IP interno 192.168.0.253

    Testei o uso destas regras:
    iptables -A FORWARD -p tcp -s $IP_OF_MTA_HOST --dport 25 -j ACCEPT

    # Log packets trying to cross the interfaces.
    iptables -A FORWARD -p tcp --dport 25 -j LOG

    # Drop those packets
    iptables -A FORWARD -p tcp --dport 25 -j DROP
    mas então meu server não consegue receber email, já tentei umas outra regras também, fiquei uns meses sem me incomodar até que agora, voltou o IP a ser listado.

    Desde já agradeço!

  2. #2

    Padrão

    Cara... Estranho...
    Você viu se os contadores estão aumentando para essa primeira regra??



  3. #3

    Padrão

    pelo que leio, faz forward, ou seja, vc autoriza a saída do servidor, através desse gw para porta 25 (não especifica sair por/para onde..). Mas e a entrada, ou seja, o que vem do mundo pra vc, onde está autorizado? e o log, tá dizendo o que?

  4. #4

    Padrão

    o problema é que quando ativo a primeira regra:

    ${IPTABLES} -A FORWARD -p tcp -s 192.168.0.253 --dport 25 -j ACCEPT
    ${IPTABLES} -A FORWARD -p tcp --dport 25 -j LOG
    ${IPTABLES} -A FORWARD -p tcp --dport 25 -j DROP


    Meu servidor não consegue receber emails, deveria estar conseguindo receber, pois demos um ACCEPT e depois foi dado um DROP para todo o resto, não entendo vejam ai o log:


    Jan 14 14:10:33 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.28 DST=192.168.0.253 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=6429 DF PROTO=TCP SPT=5238 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
    Jan 14 14:10:35 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.80 DST=192.168.0.253 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=59199 DF PROTO=TCP SPT=53323 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
    Jan 14 14:10:45 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.28 DST=192.168.0.253 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=6430 DF PROTO=TCP SPT=5238 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
    Jan 14 14:10:47 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.80 DST=192.168.0.253 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=59200 DF PROTO=TCP SPT=53323 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0



  5. #5

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Cara... Estranho...
    Você viu se os contadores estão aumentando para essa primeira regra??
    Acima respondi com o log e o resultado, agradeço!

  6. #6

    Padrão

    De acordo com isso aqui:
    Jan 14 14:10:33 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.28 DST=192.168.0.253 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=6429 DF PROTO=TCP SPT=5238 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0

    o tráfego de 200.154.152.28:5238 para 192.168.0.253:25 está sendo bloqueado.

    Substitui aquelas 3 regras por essa:
    iptables -A FORWARD -p tcp -s $IP_OF_MTA_HOST --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -d $IP_OF_MTA_HOST --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 25 -j LOG
    iptables -A FORWARD -p tcp --dport 25 -j DROP


    Testa ai e diz se funcionou...
    Até mais...



  7. #7

    Padrão

    Obrigado a todos, o problema foi resolvido seguindo a dica do Magnun, o que faltava memos era liberar o acesso ao destino e não somente origem, adicionando mais essa regra esta ok, creio que era isso que faltava, presto consultoria para esta empresa, e foi implementado a pouco tempo esse servidor de email (Qmail) e tudo o que conhecemos foi utlizado (gray list, spf, relay fechado, spamdyke, spamassassin, e demais filtros do Qmail) o problema mesmo é que toda a rede esta utilizando somente um IP fixo, onde realmente maquinas zumbis deveriam estar enviando emails, entao era lista na lista conhecida como CBL,

    Alguém conhece algum motivo a mais para o IP estar sendo listado nessa lista ? ou algum outro meio para resolver esse problema?!

  8. #8

    Padrão

    é preciso examinar pra ver se vc não tá com relay aberto, ou seja, porta 25 acessivel. Vá em maquina FORA daí e aponte pra essa como seu server smtp e experimente. Ou telnet porta 25 DE FORA daí.



  9. #9

    Padrão ???

    vc ta usando qmail ou postfix? basicamente vc precisa desativar o relay do seu servidor e marcar nos clientes meu servidor requer autenticacao...senao micros com virus vao continuar mandando spam...ips permitidos vc tem de deixar so 127.0.0.1

  10. #10

    Padrão

    Citação Postado originalmente por terencerocha Ver Post
    vc ta usando qmail ou postfix? basicamente vc precisa desativar o relay do seu servidor e marcar nos clientes meu servidor requer autenticacao...senao micros com virus vao continuar mandando spam...ips permitidos vc tem de deixar so 127.0.0.1
    Estou usando o Qmail, e o relay esta permitido somente para loopback, fiz todos testes e quando a isto esta ok, agradeço pela resposta, agora temos que esperar para ver se esta tudo ok, com as medidas tomadas e regras de firewall adicionadas, agradeços a todos que cooperaram e responder esse tópico

    Qualquer resultado significativo vou postar!



  11. #11

    Padrão

    a regra fwd está correta ou seja, o que vier do seu servidor interno vai pro mundo sem problemas; mas acontece que deveria haver uma regra redirecionando os pacotes que chegassem à porta 25 para essa máquina interna; bem, como vc diz que essa (fwd) é a unica regra que alterou (e está certa) cadê a outra, que fazia o redirecionamento? ela não deveria ter sido alterada/suprimida e e ESSA que está faltando.

  12. #12

    Padrão

    Citação Postado originalmente por irado Ver Post
    a regra fwd está correta ou seja, o que vier do seu servidor interno vai pro mundo sem problemas; mas acontece que deveria haver uma regra redirecionando os pacotes que chegassem à porta 25 para essa máquina interna; bem, como vc diz que essa (fwd) é a unica regra que alterou (e está certa) cadê a outra, que fazia o redirecionamento? ela não deveria ter sido alterada/suprimida e e ESSA que está faltando.

    Ola amigo, agradeço a todos, realmente era isso ai conforme postei anteriormente, está ok agora!