Problema com regra para porta 25

[ronanbnu]

Bom dia,

Tenha um Servidor de emails em um IP "X" esse mesmo IP é usado como Gateway da rede, então o que esta acontecendo... - Meu servidor de email esta sendo listado em uma lista CBL, esta sendo alegado que estamos infectados e que micros na rede interna estaõ sendo usados para enviarem um grande volume de email, spans, trojans, etc, o que é aconselhado por essa lista é o bloqueio de envio de emails pela porta 25 pelos hosts, mas não posso bloquear o envio para o servidor de emails que esta no IP interno 192.168.0.253

Testei o uso destas regras:
iptables -A FORWARD -p tcp -s $IP_OF_MTA_HOST --dport 25 -j ACCEPT

# Log packets trying to cross the interfaces.
iptables -A FORWARD -p tcp --dport 25 -j LOG

# Drop those packets
iptables -A FORWARD -p tcp --dport 25 -j DROP
mas então meu server não consegue receber email, já tentei umas outra regras também, fiquei uns meses sem me incomodar até que agora, voltou o IP a ser listado.

Desde já agradeço!

[Magnun]

Cara... Estranho...
Você viu se os contadores estão aumentando para essa primeira regra??

[irado]

pelo que leio, faz forward, ou seja, vc autoriza a saída do servidor, através desse gw para porta 25 (não especifica sair por/para onde..). Mas e a entrada, ou seja, o que vem do mundo pra vc, onde está autorizado? e o log, tá dizendo o que?

[ronanbnu]

o problema é que quando ativo a primeira regra:

${IPTABLES} -A FORWARD -p tcp -s 192.168.0.253 --dport 25 -j ACCEPT
${IPTABLES} -A FORWARD -p tcp --dport 25 -j LOG
${IPTABLES} -A FORWARD -p tcp --dport 25 -j DROP


Meu servidor não consegue receber emails, deveria estar conseguindo receber, pois demos um ACCEPT e depois foi dado um DROP para todo o resto, não entendo vejam ai o log:


Jan 14 14:10:33 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.28 DST=192.168.0.253 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=6429 DF PROTO=TCP SPT=5238 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 14 14:10:35 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.80 DST=192.168.0.253 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=59199 DF PROTO=TCP SPT=53323 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 14 14:10:45 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.28 DST=192.168.0.253 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=6430 DF PROTO=TCP SPT=5238 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 14 14:10:47 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.80 DST=192.168.0.253 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=59200 DF PROTO=TCP SPT=53323 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0

[ronanbnu]

Cara... Estranho...
Você viu se os contadores estão aumentando para essa primeira regra??

Acima respondi com o log e o resultado, agradeço!

[Magnun]

De acordo com isso aqui:
Jan 14 14:10:33 firewall kernel: IN=eth1 OUT=eth0 SRC=200.154.152.28 DST=192.168.0.253 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=6429 DF PROTO=TCP SPT=5238 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0

o tráfego de 200.154.152.28:5238 para 192.168.0.253:25 está sendo bloqueado.

Substitui aquelas 3 regras por essa:
iptables -A FORWARD -p tcp -s $IP_OF_MTA_HOST --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_OF_MTA_HOST --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j LOG
iptables -A FORWARD -p tcp --dport 25 -j DROP

Testa ai e diz se funcionou...
Até mais...

[ronanbnu]

Obrigado a todos, o problema foi resolvido seguindo a dica do Magnun, o que faltava memos era liberar o acesso ao destino e não somente origem, adicionando mais essa regra esta ok, creio que era isso que faltava, presto consultoria para esta empresa, e foi implementado a pouco tempo esse servidor de email (Qmail) e tudo o que conhecemos foi utlizado (gray list, spf, relay fechado, spamdyke, spamassassin, e demais filtros do Qmail) o problema mesmo é que toda a rede esta utilizando somente um IP fixo, onde realmente maquinas zumbis deveriam estar enviando emails, entao era lista na lista conhecida como CBL,

Alguém conhece algum motivo a mais para o IP estar sendo listado nessa lista ? ou algum outro meio para resolver esse problema?!

[irado]

é preciso examinar pra ver se vc não tá com relay aberto, ou seja, porta 25 acessivel. Vá em maquina FORA daí e aponte pra essa como seu server smtp e experimente. Ou telnet porta 25 DE FORA daí.

[terencerocha]

vc ta usando qmail ou postfix? basicamente vc precisa desativar o relay do seu servidor e marcar nos clientes meu servidor requer autenticacao...senao micros com virus vao continuar mandando spam...ips permitidos vc tem de deixar so 127.0.0.1

[ronanbnu]

vc ta usando qmail ou postfix? basicamente vc precisa desativar o relay do seu servidor e marcar nos clientes meu servidor requer autenticacao...senao micros com virus vao continuar mandando spam...ips permitidos vc tem de deixar so 127.0.0.1

Estou usando o Qmail, e o relay esta permitido somente para loopback, fiz todos testes e quando a isto esta ok, agradeço pela resposta, agora temos que esperar para ver se esta tudo ok, com as medidas tomadas e regras de firewall adicionadas, agradeços a todos que cooperaram e responder esse tópico

Qualquer resultado significativo vou postar!

[irado]

a regra fwd está correta ou seja, o que vier do seu servidor interno vai pro mundo sem problemas; mas acontece que deveria haver uma regra redirecionando os pacotes que chegassem à porta 25 para essa máquina interna; bem, como vc diz que essa (fwd) é a unica regra que alterou (e está certa) cadê a outra, que fazia o redirecionamento? ela não deveria ter sido alterada/suprimida e e ESSA que está faltando.

[ronanbnu]

a regra fwd está correta ou seja, o que vier do seu servidor interno vai pro mundo sem problemas; mas acontece que deveria haver uma regra redirecionando os pacotes que chegassem à porta 25 para essa máquina interna; bem, como vc diz que essa (fwd) é a unica regra que alterou (e está certa) cadê a outra, que fazia o redirecionamento? ela não deveria ter sido alterada/suprimida e e ESSA que está faltando.

Ola amigo, agradeço a todos, realmente era isso ai conforme postei anteriormente, está ok agora!