Freesco, NND, CDN, EOS

Witam

Mam spory problem ze spamerami. zastosowałem skrypty http://83.12.226.210/pub2/nnd/check25 oraz http://83.18.79.186:85/testy/rc.blok-25 i nadal jeden użytkonik ma sporo połaczeń na 25 porcie pomimo informacji w logach o jego zablokowaniu. Czyżby zaden ze skryptów nie blokował portu 25 ?

Co mozna jeszcze zrobić ?

Primo po pierwsze: Wylistuj reguły iptables i zobacz, czy jest reguła, blokująca port 25 danemu userowi.

Primo po drugie: jak sprawdzasz połączenia i jaki mają status (established, syn_sent, time_wait) ?

_________________
F33/F07,F11,F13,F17

[root@serwer spam]# iptables -L BL25
Chain BL25 (1 references)
target prot opt source destination
DROP tcp -- PLAZA anywhere tcp dpt:smtp

Niby ma zablokowane. A oto status połączeń


Jak sprawdzam
tcpdump -i eth1 tcp [13] == 2 and port 25
to cojakiś czas wychodzi od tego usera

No i będą wychodzić od niego pakiety na port 25, skoro ma mailery - i niech sobie wychodzą, i tak nie nawiąże połączenia, bo firewall nie przepuści tych pakietów dalej. Co do połączeń, które wyświetla netstat-nat, to mogą to być "wiszące" połączenia - spróbuj je wyczyścić za pomocą clr_conns.
Jeszcze jedno - zapodaj wynik
iptables -L FORWARD -vn
- może regułka kierująca pakiety do łańcucha BL25 jest nie tam, gdzie trzeba ?

_________________
F33/F07,F11,F13,F17

Nie będę wszystkiego przeklejał, chyba to wystarczy

[root@serwer BL25]# iptables -L FORWARD -vn
Chain FORWARD (policy DROP 1 packets, 40 bytes)
pkts bytes target prot opt in out source destination
274K 207M BL25 all -- * * 0.0.0.0/0 0.0.0.0/0
273K 207M liczenie all -- * * 0.0.0.0/0 0.0.0.0/0
273K 207M mrtg_traffic all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- eth0 * 0.0.0.0/7 0.0.0.0/0

Jutro jak jeszcze będzie osoba siedziała to wrzuce to co mi tcpdump zwraca na konsole