+ Responder ao Tópico



  1. #1

    Padrão Clientes com Nat fazendo Spam

    Galera bom dia a todos,
    Sou administrador de rede em um provedor, e estou com uma duvida, do tipo tenho alguns clientes fazendo nat para ips invalidos ainda, e no meu firewall, tenho squid, então todos eles saem pelo meu firewall com ip 200.200.200.201, pois bem e recebi um e-mail que esta sendo enviado spam da minha rede com origem do ip 200.200.200.201, gostaria de saber como faço para achar o peão que está com problemas, já que o ip dele é invalido.

  2. #2

    Padrão Re: Clientes com Nat fazendo Spam

    Amigo tenho essa mesma situaçao ja recebi tantos emais da Embratel que lotam minha caixa de entrada, axo que a unica forma eh um bom e velho tcpdump e muito tempo para analizar tudo!

  3. #3

    Padrão Re: Clientes com Nat fazendo Spam

    kra se for no bom e vellho tcpdump eu to fodido para analizar minha rede, pois é cliente pra kr...

  4. #4
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão Re: Clientes com Nat fazendo Spam

    De fato, voce tem que monitorar o trafego interno e por ai voce ve de onde vem os emails

  5. #5

    Padrão Re: Clientes com Nat fazendo Spam

    certo tem algum jeito para monitorar somente os ip invalidos. para poder agilizar o trampo.

  6. #6
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão Re: Clientes com Nat fazendo Spam

    Monitora tudo que sai da placa que recebe toda a rede interna, ethX

  7. #7

    Padrão Re: Clientes com Nat fazendo Spam

    na saida do meu comando tcpdump aparece assim galera
    [root@firewall]# tcpdump -p -n -i eth1:0 port 25 |grep -i '192.168.*'
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth1:0, link-type EN10MB (Ethernet), capture size 96 bytes
    13:19:21.503238 IP 192.168.115.246.1851 > 209.191.85.254.25: S 1628670532:1628670532(0) win 65535 <mss 1460,nop,nop,sackOK>
    13:19:21.962471 IP 209.191.85.254.25 > 192.168.115.246.1851: S 2893518233:2893518233(0) ack 1628670533 win 65535 <mss 1460>
    13:19:21.973333 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 1 win 65535
    13:19:22.520705 IP 209.191.85.254.25 > 192.168.115.246.1851: P 1:39(38) ack 1 win 65535
    13:19:22.578192 IP 192.168.115.246.1851 > 209.191.85.254.25: P 1:23(22) ack 39 win 65497
    13:19:23.035920 IP 209.191.85.254.25 > 192.168.115.246.1851: P 39:71(32) ack 23 win 65535
    13:19:23.068656 IP 192.168.115.246.1851 > 209.191.85.254.25: P 23:63(40) ack 71 win 65465
    13:19:23.571153 IP 209.191.85.254.25 > 192.168.115.246.1851: F 168:168(0) ack 63 win 65535
    13:19:23.577996 IP 209.191.85.254.25 > 192.168.115.246.1851: P 71:168(97) ack 63 win 65535
    13:19:23.585180 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 71 win 65465
    13:19:23.591099 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 169 win 65368
    13:19:23.608384 IP 192.168.115.246.1851 > 209.191.85.254.25: F 63:63(0) ack 169 win 65368
    13:19:24.048726 IP 209.191.85.254.25 > 192.168.115.246.1851: . ack 64 win 65535
    13:24:22.076308 IP 192.168.115.246.1855 > 209.191.85.254.25: S 1657789533:16577 89533(0) win 65535 <mss 1460,nop,nop,sackOK>
    13:24:22.604859 IP 209.191.85.254.25 > 192.168.115.246.1855: S 3999090454:39990 90454(0) ack 1657789534 win 65535 <mss 1460>
    13:24:22.615733 IP 192.168.115.246.1855 > 209.191.85.254.25: . ack 1 win 65535
    13:24:23.245737 IP 209.191.85.254.25 > 192.168.115.246.1855: P 1:39(38) ack 1 w in 65535
    13:24:23.306572 IP 192.168.115.246.1855 > 209.191.85.254.25: P 1:23(22) ack 39 win 65497
    13:24:23.861783 IP 209.191.85.254.25 > 192.168.115.246.1855: P 39:71(32) ack 23 win 65535
    13:24:23.899831 IP 192.168.115.246.1855 > 209.191.85.254.25: P 23:63(40) ack 71 win 65465
    13:24:24.461632 IP 209.191.85.254.25 > 192.168.115.246.1855: P 71:168(97) ack 6 3 win 65535
    13:24:24.464683 IP 209.191.85.254.25 > 192.168.115.246.1855: F 168:168(0) ack 6 3 win 65535
    13:24:24.475266 IP 192.168.115.246.1855 > 209.191.85.254.25: P 63:69(6) ack 168 win 65368
    13:24:24.476850 IP 192.168.115.246.1855 > 209.191.85.254.25: . ack 169 win 6536 8
    13:24:24.498482 IP 192.168.115.246.1855 > 209.191.85.254.25: F 69:69(0) ack 169 win 65368
    13:24:25.018978 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090622:39990 90622(0) win 0
    13:24:25.036872 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090623:39990 90623(0) win 0
    13:24:25.051110 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090623:39990 90623(0) win 0

  8. #8

    Padrão Re: Clientes com Nat fazendo Spam

    acho que nem se trata de monitorar

    vejamos a coisa assim: se são clientes internos, com ip-addr não roteável (rfc-1918), técnicamente não tem como (nem direito) a servidores de zémail. Então, basta vc bloquear TUDO o que vier da rede interna PARA porta 25 de qualquer enderêço externo. Bloqueando/logando vc logo detecta o responsável. Se não quiser (pq poder, pode) fazer isso, pode apenas acrescentar então uma regra no seu fwll dizendo que TUDO o que vier da rede interna PARA porta 25 no mundo deve ser logado. Melhor que ficar analisando toneladas de informação do tcpdump.

    BTW se, ainda assim, preferir sniffer, use o ethereal que faz filtragem. Ou, de modo mais simples, o iptraf.
    divirta-se.

    ps:
    3:19:21.973333 IP 192.168.115.246.1851 > 209.191.85.254.25: .

    makina 192.168.115.246 enviando zémail para yahoo.. mas será só êsse?


  9. #9

    Padrão Re: Clientes com Nat fazendo Spam

    então o que posso fazer seria dar um
    iptables -I FORWARD -d 192.168.115.0/24 --dport 25 -j DROP
    certo e não tem problemas em relação a clientes de e-mail serem bloqueado para fazer o download dos e-mails dos servidores em geral.

  10. #10

    Padrão Re: Clientes com Nat fazendo Spam

    pra baixar, não (é porta 110. pop3). Mas podem ocorrer algumas inconveniências como, por exemplo, os seus clientes (alguns) usarem o sistema de smtp de seus provedores. Por exemplo, alguém tem/usa o EuTôLoko RECEBENDO (porta 110) e ENVIANDO (porta 25) zémail de/para um servidor externo, o do seu (dêle) provedor. Digamos o terra.com.br. NÊSTE caso, e apenas nêsses casos, vc libera a porta 25 para que êle possa usufruir do direito de enviar zémail via seu próprio provedor. Êste é que passa a ficar com o abacaxi, não mais vc. Via de regra o provedor dêle vai mantê-lo direitinho na linha e, como não é mais o seu ip-addr que tá em jogo, vc liga o fo**se e vive feliz para sempre, sem o spamcop nos seus calcanhares.

    divirta-se.

  11. #11

    Padrão Re: Clientes com Nat fazendo Spam

    Não entendi companheiro
    pode me explicar melhor.

  12. #12

    Padrão Re: Clientes com Nat fazendo Spam

    aqui eu faço assim:

    "MARCO" os pacotes com destino ao STMP (porta 25) com um RETURN soh para contabilizar os bytes

    ai com o iptables -t mangle -L -nv

    consigo ver o tanto de byte que foi enviado.. e quais ips estao acessando smtp diretamente..

    aqui eu faço um load-balance para a saida para SMTP

    quando sai para:

    pop3, smtp, pop3s, smtps, imap e imaps .. ele sai por outro lugar... para que o ip que o pessoal usa pra navegar nao seja bolqueado em determinados sistemas...


  13. #13

    Padrão Re: Clientes com Nat fazendo Spam

    assim que vc conseguir detectar os usuarios que mais usam SMTP

    separe um ip.. e mude com SNAT o endereço que vai sar somente para estes usuarios..

    estou pensando seriamente aqui em colocar ip valido para TODOS os usuarios...

    ai faço um filtro de conexao de entrada (syn) ... para que ninguem rode por ex.. webserver, proxy, smtp etc etc...

  14. #14

    Padrão Re: Clientes com Nat fazendo Spam

    Citação Postado originalmente por Alexandre Correa
    assim que vc conseguir detectar os usuarios que mais usam SMTP

    separe um ip.. e mude com SNAT o endereço que vai sar somente para estes usuarios..

    estou pensando seriamente aqui em colocar ip valido para TODOS os usuarios...

    ai faço um filtro de conexao de entrada (syn) ... para que ninguem rode por ex.. webserver, proxy, smtp etc etc...
    Alexandre, tenho usuarios com ips validos em minha rede e estou querendo bloquear exatamente essa questão de não deixar os usuarios usarem hospedagem em suas proprias maquinas, você teria uma regra que bloqueasse isso sem afetar a navegação deles? como seria a regra com o bloqueio do -syn? Aguardo retorno e agradeço desde já.

  15. #15

    Padrão Re: Clientes com Nat fazendo Spam

    bloqueando a porta 25 vc terá problema se algum de seus clientes usar um servidor de e-mail com acesso pop e smtp...

    muitos spamers usam o proxy para fazer isso

    pra você saber se o spam está sendo feito na porta 25, monitore esta porta

    # tcpdump -v -n tcp port 25


  16. #16

    Padrão Re: Clientes com Nat fazendo Spam

    Citação Postado originalmente por Alexandre Correa
    aqui eu faço assim:

    "MARCO" os pacotes com destino ao STMP (porta 25) com um RETURN soh para contabilizar os bytes

    ai com o iptables -t mangle -L -nv

    consigo ver o tanto de byte que foi enviado.. e quais ips estao acessando smtp diretamente..

    aqui eu faço um load-balance para a saida para SMTP

    quando sai para:

    pop3, smtp, pop3s, smtps, imap e imaps .. ele sai por outro lugar... para que o ip que o pessoal usa pra navegar nao seja bolqueado em determinados sistemas...

    Você poderia postar um trecho do seu iptables com a tabela mark para a porta 25