Freesco, NND, CDN, EOS :: Wyświetl temat - zombie

: [/] [] ()

# Porty zablokowane dla wszystkich
if [ "$TCP_IN_DENY" ];then
    # Porty zablokowane dla wszystkich
if [ "$TCP_IN_DENY" ];then
    $i -A INPUT -p tcp --dst 0/0 -m multiport --dport $TCP_IN_DENY -j DROP
fi
if [ "$UDP_IN_DENY" ];then
    $i -A INPUT -p udp --dst 0/0 -m multiport --dport $UDP_IN_DENY -j DROP
fi
#---------------- TU DOPISZ -------------
$i -A FORWARD -p tcp -s 192.168.0.3 -m multiport --dport 25,53 -j DROP
$i -A FORWARD -p udp -s 192.168.0.3 -m multiport --dport 53 -j DROP
#--------------------------------------------
# Takie adresy nie maja prawa tu byc

Autor:	lehmpiotr [ niedziela, 25 czerwca 2006, 12:17 ]
Tytuł:	zombie - blokowanie smtp na firewalu
mam w sieci ZOMBIE który rozsyła cały czas śmieci w net. Zaraz pewnie rozpiszą się ludzie, że dać mu informację i odciąć delikwenta (najlepiej na radiu). Jednak to wiem. Chciałbym jednak zablokować wybrany IP tylko na danym porcie, tzn. wysyłąna jest poczta tcp:25 (SMTP) i bardzo duży ruch udp:53 port (DNS). Mam firewal Zciecha i na razie nie chcę go zmieniać tylko zmodyfikować. : [/] [] () $i -P INPUT DROP $i -P FORWARD DROP $i -P OUTPUT ACCEPT GeSHi © Codebox Plus Wiem że najlepiej byłoby zablokować cały ruch wychodzący i dopiera otwierać usługi. Kombinowałem na różne sposoby jednak nie daję rady.

Autor:	zciech [ niedziela, 25 czerwca 2006, 12:30 ]
Tytuł:
: [/] [] () # Porty zablokowane dla wszystkich if [ "$TCP_IN_DENY" ];then # Porty zablokowane dla wszystkich if [ "$TCP_IN_DENY" ];then $i -A INPUT -p tcp --dst 0/0 -m multiport --dport $TCP_IN_DENY -j DROP fi if [ "$UDP_IN_DENY" ];then $i -A INPUT -p udp --dst 0/0 -m multiport --dport $UDP_IN_DENY -j DROP fi #---------------- TU DOPISZ ------------- $i -A FORWARD -p tcp -s 192.168.0.3 -m multiport --dport 25,53 -j DROP $i -A FORWARD -p udp -s 192.168.0.3 -m multiport --dport 53 -j DROP #-------------------------------------------- # Takie adresy nie maja prawa tu byc GeSHi © Codebox Plus oczywiscie jak mu zablokujesz dns-a (53 udp) to sie nigdzie nie polaczy

Autor:	lehmpiotr [ niedziela, 25 czerwca 2006, 23:09 ]
Tytuł:
Fakt. Dziwne bo testowałem podobny zapis ale widocznie było coś nie tak. Mam też koncepcję by zrobić w taki sposób żeby delikwentowi zablokować całkowicie port 25 jak podajesz mistrzu ZCIECH wyżej, a otworzyć ten port np tylko dla danej domeny np poczta.wp.pl lub podobnych. Czy to ma sens? Bo analizując ruch widzę również że inni co jakiś czas mają wysyłki niekontrolowane co świadczy o zawirusowaniu. Jednak jeden to dosłownie sieje jak zboże. THX za pomoc

Autor:	-MW- [ poniedziałek, 26 czerwca 2006, 15:21 ]
Tytuł:
u mnie na pozadku dziennym jest blokowanie portu 25 robie to czego nie robia klienci.

Autor:	lehmpiotr [ poniedziałek, 26 czerwca 2006, 16:55 ]
Tytuł:
-MW- pisze: u mnie na pozadku dziennym jest blokowanie portu 25 robie to czego nie robia klienci. a jak klienci wysyłają pocztę z klientów pocztowych?? Wydaje mi się że lepiej zablokować port 25 i otworzyć tylko dla każdego hosta wybraną witrynę.

Freesco, NND, CDN, EOS http://forum.freesco.pl/

zombie - blokowanie smtp na firewalu http://forum.freesco.pl/viewtopic.php?f=22&t=12855	Strona 1 z 1

Autor:	Maciek [ poniedziałek, 26 czerwca 2006, 17:58 ]
Tytuł:
Sugeruje blokadę portu 25 i powiadomienie klienta, po usunięciu przyczyny mozna odblokować.

Autor:	MAC!EK [ poniedziałek, 26 czerwca 2006, 22:58 ]
Tytuł:
heh TPsa jest na pierwszym miejscu na świecie! (pod względem ilości wysyłanych maili)

Autor:	kroll [ wtorek, 27 czerwca 2006, 05:47 ]
Tytuł:
MAC!EK pisze: heh TPsa jest na pierwszym miejscu na świecie! (pod względem ilości wysyłanych maili) Jasne - ale dopóki będą "dostawcy" co widzą ruch od klienta: spamowy, wirusowy, trojanowy a nie wyciągają klientowi wtyczki .... A lepiej nie będę kończył. pzdr. PS. Niedawno dostałem powiadmomienie, że serwer starostwa w ......... jest zoombie. No i co TPSA powinna im zablokować 25? Dopiero byłoby krzyku !

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/