Logar conexões SMTP suspeitas
Bem, comecei em um emprego novo, a empresa têm cerca de 60 estações, todas com Windows, e suspeito que boa parte delas tem spywares, obviamente.
A empresa paga um provedor de email, que fornece SMTP e POP3.
Eu gostaria de logar, todas as conexões solicitadas a servidores SMTP que não sejam o SMTP da empresa.
Eu estou tentando com a seguinte regra, que me parece não estar errada:
iptables -A OUTPUT -d ! host_do_smtp --dport 25 -j LOG
Eu interpreto da seguinte maneira: conexões que estiverem saindo para destinos diferentes de host_do_smtp e na porta 25, logar.
Porém, acontece o seguinte erro:
iptables v1.2.11: ! not allowed with multiple source or destination IP addresses
Como seria a maneira correta de se fazer isso?
Logar conexões SMTP suspeitas
Miguel,
Esse erro ocorre pois OUTPUT refere-se aos pacotes gerados localmente pelo firewall, ou seja, tudo o que o equipamento firewall envia. A INPUT já é ao contrário do OUTPUT, pois controla tudo o que a máquina recebe.
No seu caso como quer bloquear pacotes que passam pelo equipamento onde está o firewall, precisa utilizar FORWARD.
Obs.: Esse erro com OUTPUT é bastante comum, pois supõe-se que o administrador do equipamento tem dominio total sobre o envio de pacotes, não precisando usar o firewall para bloquear ele mesmo.
Espero ter ajudado,
Abraços,
Fabio Laé
Re: Logar conexões SMTP suspeitas
Citação:
Postado originalmente por Miguel
iptables -A OUTPUT -d ! host_do_smtp --dport 25 -j LOG
faltou colocar -p tcp, qdo vc especifica portas no iptables vc tem q especificar o protocolo tb