Clientes com Nat fazendo Spam

[LinuxKids]

Galera bom dia a todos,
Sou administrador de rede em um provedor, e estou com uma duvida, do tipo tenho alguns clientes fazendo nat para ips invalidos ainda, e no meu firewall, tenho squid, então todos eles saem pelo meu firewall com ip 200.200.200.201, pois bem e recebi um e-mail que esta sendo enviado spam da minha rede com origem do ip 200.200.200.201, gostaria de saber como faço para achar o peão que está com problemas, já que o ip dele é invalido.

[marcelovoax]

Amigo tenho essa mesma situaçao ja recebi tantos emais da Embratel que lotam minha caixa de entrada, axo que a unica forma eh um bom e velho tcpdump e muito tempo para analizar tudo!

[LinuxKids]

kra se for no bom e vellho tcpdump eu to fodido para analizar minha rede, pois é cliente pra kr...

[Fernando]

De fato, voce tem que monitorar o trafego interno e por ai voce ve de onde vem os emails

[LinuxKids]

certo tem algum jeito para monitorar somente os ip invalidos. para poder agilizar o trampo.

[Fernando]

Monitora tudo que sai da placa que recebe toda a rede interna, ethX

[LinuxKids]

na saida do meu comando tcpdump aparece assim galera
[root@firewall]# tcpdump -p -n -i eth1:0 port 25 |grep -i '192.168.*'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1:0, link-type EN10MB (Ethernet), capture size 96 bytes
13:19:21.503238 IP 192.168.115.246.1851 > 209.191.85.254.25: S 1628670532:1628670532(0) win 65535 <mss 1460,nop,nop,sackOK>
13:19:21.962471 IP 209.191.85.254.25 > 192.168.115.246.1851: S 2893518233:2893518233(0) ack 1628670533 win 65535 <mss 1460>
13:19:21.973333 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 1 win 65535
13:19:22.520705 IP 209.191.85.254.25 > 192.168.115.246.1851: P 1:39(38) ack 1 win 65535
13:19:22.578192 IP 192.168.115.246.1851 > 209.191.85.254.25: P 1:23(22) ack 39 win 65497
13:19:23.035920 IP 209.191.85.254.25 > 192.168.115.246.1851: P 39:71(32) ack 23 win 65535
13:19:23.068656 IP 192.168.115.246.1851 > 209.191.85.254.25: P 23:63(40) ack 71 win 65465
13:19:23.571153 IP 209.191.85.254.25 > 192.168.115.246.1851: F 168:168(0) ack 63 win 65535
13:19:23.577996 IP 209.191.85.254.25 > 192.168.115.246.1851: P 71:168(97) ack 63 win 65535
13:19:23.585180 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 71 win 65465
13:19:23.591099 IP 192.168.115.246.1851 > 209.191.85.254.25: . ack 169 win 65368
13:19:23.608384 IP 192.168.115.246.1851 > 209.191.85.254.25: F 63:63(0) ack 169 win 65368
13:19:24.048726 IP 209.191.85.254.25 > 192.168.115.246.1851: . ack 64 win 65535
13:24:22.076308 IP 192.168.115.246.1855 > 209.191.85.254.25: S 1657789533:16577 89533(0) win 65535 <mss 1460,nop,nop,sackOK>
13:24:22.604859 IP 209.191.85.254.25 > 192.168.115.246.1855: S 3999090454:39990 90454(0) ack 1657789534 win 65535 <mss 1460>
13:24:22.615733 IP 192.168.115.246.1855 > 209.191.85.254.25: . ack 1 win 65535
13:24:23.245737 IP 209.191.85.254.25 > 192.168.115.246.1855: P 1:39(38) ack 1 w in 65535
13:24:23.306572 IP 192.168.115.246.1855 > 209.191.85.254.25: P 1:23(22) ack 39 win 65497
13:24:23.861783 IP 209.191.85.254.25 > 192.168.115.246.1855: P 39:71(32) ack 23 win 65535
13:24:23.899831 IP 192.168.115.246.1855 > 209.191.85.254.25: P 23:63(40) ack 71 win 65465
13:24:24.461632 IP 209.191.85.254.25 > 192.168.115.246.1855: P 71:168(97) ack 6 3 win 65535
13:24:24.464683 IP 209.191.85.254.25 > 192.168.115.246.1855: F 168:168(0) ack 6 3 win 65535
13:24:24.475266 IP 192.168.115.246.1855 > 209.191.85.254.25: P 63:69(6) ack 168 win 65368
13:24:24.476850 IP 192.168.115.246.1855 > 209.191.85.254.25: . ack 169 win 6536 8
13:24:24.498482 IP 192.168.115.246.1855 > 209.191.85.254.25: F 69:69(0) ack 169 win 65368
13:24:25.018978 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090622:39990 90622(0) win 0
13:24:25.036872 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090623:39990 90623(0) win 0
13:24:25.051110 IP 209.191.85.254.25 > 192.168.115.246.1855: R 3999090623:39990 90623(0) win 0

[irado]

acho que nem se trata de monitorar

vejamos a coisa assim: se são clientes internos, com ip-addr não roteável (rfc-1918), técnicamente não tem como (nem direito) a servidores de zémail. Então, basta vc bloquear TUDO o que vier da rede interna PARA porta 25 de qualquer enderêço externo. Bloqueando/logando vc logo detecta o responsável. Se não quiser (pq poder, pode) fazer isso, pode apenas acrescentar então uma regra no seu fwll dizendo que TUDO o que vier da rede interna PARA porta 25 no mundo deve ser logado. Melhor que ficar analisando toneladas de informação do tcpdump.

BTW se, ainda assim, preferir sniffer, use o ethereal que faz filtragem. Ou, de modo mais simples, o iptraf.
divirta-se.

ps:
3:19:21.973333 IP 192.168.115.246.1851 > 209.191.85.254.25: .

makina 192.168.115.246 enviando zémail para yahoo.. mas será só êsse?

[LinuxKids]

então o que posso fazer seria dar um
iptables -I FORWARD -d 192.168.115.0/24 --dport 25 -j DROP
certo e não tem problemas em relação a clientes de e-mail serem bloqueado para fazer o download dos e-mails dos servidores em geral.

[irado]

pra baixar, não (é porta 110. pop3). Mas podem ocorrer algumas inconveniências como, por exemplo, os seus clientes (alguns) usarem o sistema de smtp de seus provedores. Por exemplo, alguém tem/usa o EuTôLoko RECEBENDO (porta 110) e ENVIANDO (porta 25) zémail de/para um servidor externo, o do seu (dêle) provedor. Digamos o terra.com.br. NÊSTE caso, e apenas nêsses casos, vc libera a porta 25 para que êle possa usufruir do direito de enviar zémail via seu próprio provedor. Êste é que passa a ficar com o abacaxi, não mais vc. Via de regra o provedor dêle vai mantê-lo direitinho na linha e, como não é mais o seu ip-addr que tá em jogo, vc liga o fo**se e vive feliz para sempre, sem o spamcop nos seus calcanhares.

divirta-se.

[LinuxKids]

Não entendi companheiro
pode me explicar melhor.

[alexandrecorrea]

aqui eu faço assim:

"MARCO" os pacotes com destino ao STMP (porta 25) com um RETURN soh para contabilizar os bytes

ai com o iptables -t mangle -L -nv

consigo ver o tanto de byte que foi enviado.. e quais ips estao acessando smtp diretamente..

aqui eu faço um load-balance para a saida para SMTP

quando sai para:

pop3, smtp, pop3s, smtps, imap e imaps .. ele sai por outro lugar... para que o ip que o pessoal usa pra navegar nao seja bolqueado em determinados sistemas...

[alexandrecorrea]

assim que vc conseguir detectar os usuarios que mais usam SMTP

separe um ip.. e mude com SNAT o endereço que vai sar somente para estes usuarios..

estou pensando seriamente aqui em colocar ip valido para TODOS os usuarios...

ai faço um filtro de conexao de entrada (syn) ... para que ninguem rode por ex.. webserver, proxy, smtp etc etc...

[TheHawk]

assim que vc conseguir detectar os usuarios que mais usam SMTP

separe um ip.. e mude com SNAT o endereço que vai sar somente para estes usuarios..

estou pensando seriamente aqui em colocar ip valido para TODOS os usuarios...

ai faço um filtro de conexao de entrada (syn) ... para que ninguem rode por ex.. webserver, proxy, smtp etc etc...

Alexandre, tenho usuarios com ips validos em minha rede e estou querendo bloquear exatamente essa questão de não deixar os usuarios usarem hospedagem em suas proprias maquinas, você teria uma regra que bloqueasse isso sem afetar a navegação deles? como seria a regra com o bloqueio do -syn? Aguardo retorno e agradeço desde já.

[lucianogf]

bloqueando a porta 25 vc terá problema se algum de seus clientes usar um servidor de e-mail com acesso pop e smtp...

muitos spamers usam o proxy para fazer isso

pra você saber se o spam está sendo feito na porta 25, monitore esta porta

# tcpdump -v -n tcp port 25

[LinuxKids]

aqui eu faço assim:

"MARCO" os pacotes com destino ao STMP (porta 25) com um RETURN soh para contabilizar os bytes

ai com o iptables -t mangle -L -nv

consigo ver o tanto de byte que foi enviado.. e quais ips estao acessando smtp diretamente..

aqui eu faço um load-balance para a saida para SMTP

quando sai para:

pop3, smtp, pop3s, smtps, imap e imaps .. ele sai por outro lugar... para que o ip que o pessoal usa pra navegar nao seja bolqueado em determinados sistemas...

Você poderia postar um trecho do seu iptables com a tabela mark para a porta 25