Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Monitora tudo que sai da placa que recebe toda a rede interna, ethX

  2. na saida do meu comando tcpdump aparece assim galera
    [root@firewall]# tcpdump -p -n -i eth1:0 port 25 |grep -i '192.168.*'
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth1:0, link-type EN10MB (Ethernet), capture size 96 bytes
    13:19:21.503238 IP 192.168.115.246.1851 > 209.191.85.254.25: S 1628670532:1628670532(0) win 65535 <mss 1460,nop,nop,sackOK>
    13:19:21.962471 IP 209.191.85.254.25 > 192.168.115.246.1851: S 2893518233:2893518233(0) ack 1628670533 win 65535 <mss 1460>
    13:19:21.973333 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 1 win 65535
    13:19:22.520705 IP 209.191.85.254.25 > 192.168.115.246.1851: P 1:39(38) ack 1 win 65535
    13:19:22.578192 IP 192.168.115.246.1851 > 209.191.85.254.25: P 1:23(22) ack 39 win 65497
    13:19:23.035920 IP 209.191.85.254.25 > 192.168.115.246.1851: P 39:71(32) ack 23 win 65535
    13:19:23.068656 IP 192.168.115.246.1851 > 209.191.85.254.25: P 23:63(40) ack 71 win 65465
    13:19:23.571153 IP 209.191.85.254.25 > 192.168.115.246.1851: F 168:168(0) ack 63 win 65535
    13:19:23.577996 IP 209.191.85.254.25 > 192.168.115.246.1851: P 71:168(97) ack 63 win 65535
    13:19:23.585180 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 71 win 65465
    13:19:23.591099 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 169 win 65368
    13:19:23.608384 IP 192.168.115.246.1851 > 209.191.85.254.25: F 63:63(0) ack 169 win 65368
    13:19:24.048726 IP 209.191.85.254.25 > 192.168.115.246.1851: . ack 64 win 65535
    13:24:22.076308 IP 192.168.115.246.1855 > 209.191.85.254.25: S 1657789533:16577 89533(0) win 65535 <mss 1460,nop,nop,sackOK>
    13:24:22.604859 IP 209.191.85.254.25 > 192.168.115.246.1855: S 3999090454:39990 90454(0) ack 1657789534 win 65535 <mss 1460>
    13:24:22.615733 IP 192.168.115.246.1855 > 209.191.85.254.25: . ack 1 win 65535
    13:24:23.245737 IP 209.191.85.254.25 > 192.168.115.246.1855: P 1:39(38) ack 1 w in 65535
    13:24:23.306572 IP 192.168.115.246.1855 > 209.191.85.254.25: P 1:23(22) ack 39 win 65497
    13:24:23.861783 IP 209.191.85.254.25 > 192.168.115.246.1855: P 39:71(32) ack 23 win 65535
    13:24:23.899831 IP 192.168.115.246.1855 > 209.191.85.254.25: P 23:63(40) ack 71 win 65465
    13:24:24.461632 IP 209.191.85.254.25 > 192.168.115.246.1855: P 71:168(97) ack 6 3 win 65535
    13:24:24.464683 IP 209.191.85.254.25 > 192.168.115.246.1855: F 168:168(0) ack 6 3 win 65535
    13:24:24.475266 IP 192.168.115.246.1855 > 209.191.85.254.25: P 63:69(6) ack 168 win 65368
    13:24:24.476850 IP 192.168.115.246.1855 > 209.191.85.254.25: . ack 169 win 6536 8
    13:24:24.498482 IP 192.168.115.246.1855 > 209.191.85.254.25: F 69:69(0) ack 169 win 65368
    13:24:25.018978 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090622:39990 90622(0) win 0
    13:24:25.036872 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090623:39990 90623(0) win 0
    13:24:25.051110 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090623:39990 90623(0) win 0



  3. acho que nem se trata de monitorar

    vejamos a coisa assim: se são clientes internos, com ip-addr não roteável (rfc-1918), técnicamente não tem como (nem direito) a servidores de zémail. Então, basta vc bloquear TUDO o que vier da rede interna PARA porta 25 de qualquer enderêço externo. Bloqueando/logando vc logo detecta o responsável. Se não quiser (pq poder, pode) fazer isso, pode apenas acrescentar então uma regra no seu fwll dizendo que TUDO o que vier da rede interna PARA porta 25 no mundo deve ser logado. Melhor que ficar analisando toneladas de informação do tcpdump.

    BTW se, ainda assim, preferir sniffer, use o ethereal que faz filtragem. Ou, de modo mais simples, o iptraf.
    divirta-se.

    ps:
    3:19:21.973333 IP 192.168.115.246.1851 > 209.191.85.254.25: .

    makina 192.168.115.246 enviando zémail para yahoo.. mas será só êsse?


  4. então o que posso fazer seria dar um
    iptables -I FORWARD -d 192.168.115.0/24 --dport 25 -j DROP
    certo e não tem problemas em relação a clientes de e-mail serem bloqueado para fazer o download dos e-mails dos servidores em geral.



  5. pra baixar, não (é porta 110. pop3). Mas podem ocorrer algumas inconveniências como, por exemplo, os seus clientes (alguns) usarem o sistema de smtp de seus provedores. Por exemplo, alguém tem/usa o EuTôLoko RECEBENDO (porta 110) e ENVIANDO (porta 25) zémail de/para um servidor externo, o do seu (dêle) provedor. Digamos o terra.com.br. NÊSTE caso, e apenas nêsses casos, vc libera a porta 25 para que êle possa usufruir do direito de enviar zémail via seu próprio provedor. Êste é que passa a ficar com o abacaxi, não mais vc. Via de regra o provedor dêle vai mantê-lo direitinho na linha e, como não é mais o seu ip-addr que tá em jogo, vc liga o fo**se e vive feliz para sempre, sem o spamcop nos seus calcanhares.

    divirta-se.






Tópicos Similares

  1. Respostas: 7
    Último Post: 31-12-2016, 16:13
  2. Respostas: 4
    Último Post: 27-03-2015, 00:15
  3. OpenSwan com L2tp - problema com 2 clientes simultaneos NAT
    Por Danilo_Montagna no fórum Servidores de Rede
    Respostas: 0
    Último Post: 16-11-2005, 14:53
  4. Cliente Wireless com Nat?
    Por mateuspok no fórum Redes
    Respostas: 4
    Último Post: 15-10-2004, 18:13
  5. VPN linux atráz de router com NAT
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 21-03-2003, 07:53

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L