Freesco, NND, CDN, EOS • Wyświetl temat - zombie

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

zombie - blokowanie smtp na firewalu

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 1

[ Posty: 8 ]

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

lehmpiotr

Tytuł: zombie - blokowanie smtp na firewalu

: niedziela, 25 czerwca 2006, 12:17

Rejestracja: sobota, 17 grudnia 2005, 21:29
Posty: 58
Lokalizacja: KASZUBY

mam w sieci ZOMBIE który rozsyła cały czas śmieci w net.
Zaraz pewnie rozpiszą się ludzie, że dać mu informację i odciąć delikwenta (najlepiej na radiu). Jednak to wiem.
Chciałbym jednak zablokować wybrany IP tylko na danym porcie, tzn. wysyłąna jest poczta tcp:25 (SMTP) i bardzo duży ruch udp:53 port (DNS).

Mam firewal Zciecha i na razie nie chcę go zmieniać tylko zmodyfikować.

: [/] [] ()

    $i -P INPUT DROP
    $i -P FORWARD DROP
    $i -P OUTPUT ACCEPT

GeSHi © Codebox Plus

Wiem że najlepiej byłoby zablokować cały ruch wychodzący i dopiera otwierać usługi. Kombinowałem na różne sposoby jednak nie daję rady.

_________________
Użyszkodnik NND

Na górę

zciech

Tytuł:

: niedziela, 25 czerwca 2006, 12:30

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

: [/] [] ()

# Porty zablokowane dla wszystkich
if [ "$TCP_IN_DENY" ];then
    # Porty zablokowane dla wszystkich
if [ "$TCP_IN_DENY" ];then
    $i -A INPUT -p tcp --dst 0/0 -m multiport --dport $TCP_IN_DENY -j DROP
fi
if [ "$UDP_IN_DENY" ];then
    $i -A INPUT -p udp --dst 0/0 -m multiport --dport $UDP_IN_DENY -j DROP
fi
#---------------- TU DOPISZ -------------
$i -A FORWARD -p tcp -s 192.168.0.3 -m multiport --dport 25,53 -j DROP
$i -A FORWARD -p udp -s 192.168.0.3 -m multiport --dport 53 -j DROP
#--------------------------------------------
# Takie adresy nie maja prawa tu byc

GeSHi © Codebox Plus

oczywiscie jak mu zablokujesz dns-a (53 udp) to sie nigdzie nie polaczy

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Na górę

lehmpiotr

Tytuł:

: niedziela, 25 czerwca 2006, 23:09

Rejestracja: sobota, 17 grudnia 2005, 21:29
Posty: 58
Lokalizacja: KASZUBY

Fakt.
Dziwne bo testowałem podobny zapis ale widocznie było coś nie tak. Mam też koncepcję by zrobić w taki sposób żeby delikwentowi zablokować całkowicie port 25 jak podajesz mistrzu ZCIECH wyżej, a otworzyć ten port np tylko dla danej domeny np poczta.wp.pl lub podobnych.

Czy to ma sens?
Bo analizując ruch widzę również że inni co jakiś czas mają wysyłki niekontrolowane co świadczy o zawirusowaniu. Jednak jeden to dosłownie sieje jak zboże.

THX za pomoc

_________________
Użyszkodnik NND

Na górę

-MW-

Tytuł:

: poniedziałek, 26 czerwca 2006, 15:21

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

u mnie na pozadku dziennym jest blokowanie portu 25
robie to czego nie robia klienci.

Na górę

lehmpiotr

Tytuł:

: poniedziałek, 26 czerwca 2006, 16:55

Rejestracja: sobota, 17 grudnia 2005, 21:29
Posty: 58
Lokalizacja: KASZUBY

-MW- pisze:

u mnie na pozadku dziennym jest blokowanie portu 25
robie to czego nie robia klienci.

a jak klienci wysyłają pocztę z klientów pocztowych?? Wydaje mi się że lepiej zablokować port 25 i otworzyć tylko dla każdego hosta wybraną witrynę.

_________________
Użyszkodnik NND

Na górę

Maciek

Tytuł:

: poniedziałek, 26 czerwca 2006, 17:58

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Sugeruje blokadę portu 25 i powiadomienie klienta, po usunięciu przyczyny mozna odblokować.

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

MAC!EK

Tytuł:

: poniedziałek, 26 czerwca 2006, 22:58

MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa

heh TPsa jest na pierwszym miejscu na świecie! (pod względem ilości
wysyłanych maili)

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Na górę

kroll

Tytuł:

: wtorek, 27 czerwca 2006, 05:47

Rejestracja: czwartek, 15 lipca 2004, 20:40
Posty: 40
Lokalizacja: Zelów

MAC!EK pisze:

heh TPsa jest na pierwszym miejscu na świecie! (pod względem ilości
wysyłanych maili)

Jasne - ale dopóki będą "dostawcy" co widzą ruch od klienta: spamowy, wirusowy, trojanowy a nie wyciągają klientowi wtyczki ....

A lepiej nie będę kończył.

pzdr.

PS. Niedawno dostałem powiadmomienie, że serwer starostwa w ......... jest zoombie. No i co TPSA powinna im zablokować 25? Dopiero byłoby krzyku !

_________________
pacman -Suy walety kufel piwo

Na górę

Strona 1 z 1

[ Posty: 8 ]

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 7 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników