Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Hosts.deny  (Прочитано 1438 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Danlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Hosts.deny
« : 11 Сентября 2020, 17:52:08 »
Народ, помогите советом. Достал один спамер, всю плешь су… проел уже. Стучится каждый день, не получается его забанить.
Вот пример хостов:
123.example.com
345.example.com
456.exmple.com

Меняется каждый день и каждый день новый айпишник. Пробовал через hosts.deny таким вот образом ALL: *.example.com или ALL: .example.com, но без результата.
Заранее спасибо.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Hosts.deny
« Ответ #1 : 11 Сентября 2020, 17:54:26 »
Опишите проблему с головы.
Что за "примеры хостов", что за спамер?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Danlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Hosts.deny
« Ответ #2 : 13 Сентября 2020, 11:23:26 »
На 25 порт стучиться каждый день  :).
Вот лог:
Sep 12  postfix/smtpd[8822]: warning: hostname zg-0823a-265.stretchoid.com does not resolve to address 192.241.225.100: Name or service not known
Sep 12 postfix/smtpd[8822]: connect from unknown[192.241.225.100]
Sep 12 postfix/smtpd[8822]: disconnect from unknown[192.241.225.100] ehlo=1 quit=1 commands=2

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1742
    • Просмотр профиля
Re: Hosts.deny
« Ответ #3 : 13 Сентября 2020, 11:29:56 »
sudo iptables -A INPUT -s 192.241.225.100/32 -j DROP

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 696
    • Просмотр профиля
Re: Hosts.deny
« Ответ #4 : 13 Сентября 2020, 15:24:57 »
На 25 порт стучиться каждый день  .
Вот лог:
Ну и что, у меня тоже стучится этот же... да и хрен с ним, это просто прозвон незащищенных серверов, он натыкается на авторизацию и просто отваливается. Ну и ты же в курсе, что 25 порт использовать Postfix не должен? Порт 587 или 465 используется.

Sep 13 13:33:14 postfix/smtpd[27279]: warning: hostname zg-0823b-84.stretchoid.com does not resolve to address 192.241.229.214: Name or service not known
Sep 13 13:33:14 postfix/smtpd[27279]: connect from unknown[192.241.229.214]
Sep 13 13:33:14 postfix/smtpd[27279]: SSL_accept error from unknown[192.241.229.214]: -1
Sep 13 13:33:14 postfix/smtpd[27279]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640:
Sep 13 13:33:14 postfix/smtpd[27279]: lost connection after CONNECT from unknown[192.241.229.214]
Sep 13 13:33:14 postfix/smtpd[27279]: disconnect from unknown[192.241.229.214] commands=0/0
Sep 13 13:41:02 postfix/smtpd[27964]: connect from unknown[193.169.255.50]
Sep 13 13:41:02 postfix/smtpd[27964]: disconnect from unknown[193.169.255.50] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Hosts.deny
« Ответ #5 : 13 Сентября 2020, 18:55:36 »
что 25 порт использовать Postfix не должен
С чего вдруг?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Danlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Hosts.deny
« Ответ #6 : 13 Сентября 2020, 19:54:16 »
sudo iptables -A INPUT -s 192.241.225.100/32 -j DROP

162.243.X.X. имеют еще.

На 25 порт стучиться каждый день  .
Вот лог:
Ну и что, у меня тоже стучится этот же... да и хрен с ним, это просто прозвон незащищенных серверов, он натыкается на авторизацию и просто отваливается. Ну и ты же в курсе, что 25 порт использовать Postfix не должен? Порт 587 или 465 используется.

Sep 13 13:33:14 postfix/smtpd[27279]: warning: hostname zg-0823b-84.stretchoid.com does not resolve to address 192.241.229.214: Name or service not known
Sep 13 13:33:14 postfix/smtpd[27279]: connect from unknown[192.241.229.214]
Sep 13 13:33:14 postfix/smtpd[27279]: SSL_accept error from unknown[192.241.229.214]: -1
Sep 13 13:33:14 postfix/smtpd[27279]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640:
Sep 13 13:33:14 postfix/smtpd[27279]: lost connection after CONNECT from unknown[192.241.229.214]
Sep 13 13:33:14 postfix/smtpd[27279]: disconnect from unknown[192.241.229.214] commands=0/0
Sep 13 13:41:02 postfix/smtpd[27964]: connect from unknown[193.169.255.50]
Sep 13 13:41:02 postfix/smtpd[27964]: disconnect from unknown[193.169.255.50] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4


Таких как минимум 4 товарища. Например ensys-scanner.com , battery.census.shodan.io, где то еще один есть точно. Жалко время на них тратить в логах  :). Без 25 порта письма будет получать?

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 696
    • Просмотр профиля
Re: Hosts.deny
« Ответ #7 : 13 Сентября 2020, 20:13:00 »
Без 25 порта письма будет получать?
Получать будет, отправлять нет. Вообще его не надо блокировать наглухо, т.е. при этом отправлять ничего не будет, 25 нужно оставить открытым. Просто настрой Postfix для отправки почты только через SSL/TLS аутентификацию и через 465 порт. По этому варианту никто не ломится, все понимают что этот порт для соединения с авторизацией. А соединения по 25 отключи, просто будет сбрасывать все входящие запросы на подключение.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Hosts.deny
« Ответ #8 : 13 Сентября 2020, 23:27:03 »
Без 25 порта письма будет получать?
Нет конечно.

Пользователь добавил сообщение 13 Сентября 2020, 23:28:00:
AlexDem, читайте стандарт. Входящая почта с внешних серверов приходит ТОЛЬКО на 25-й порт.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 696
    • Просмотр профиля
Re: Hosts.deny
« Ответ #9 : 14 Сентября 2020, 00:24:35 »
Без 25 порта письма будет получать?
Нет конечно.

Пользователь добавил сообщение 13 Сентября 2020, 23:28:00:
AlexDem, читайте стандарт. Входящая почта с внешних серверов приходит ТОЛЬКО на 25-й порт.
А я с этим не спорил, просто я имел ввиду не блокировку на уровне iptables, а скорее настройками postfix, просто наверное неудачно выразился. Имелось ввиду, что надо закрыть аутентификацию через 25 порт в master.cf сервера. Я там дальше же специально написал, что блокировать 25 порт наглухо не стОит.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Hosts.deny
« Ответ #10 : 14 Сентября 2020, 16:29:04 »
Читайте моё предыдущее сообщение.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Danlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Hosts.deny
« Ответ #11 : 15 Сентября 2020, 11:05:08 »
Без 25 порта письма будет получать?
Нет конечно.

Пользователь добавил сообщение 13 Сентября 2020, 23:28:00:
AlexDem, читайте стандарт. Входящая почта с внешних серверов приходит ТОЛЬКО на 25-й порт.
А я с этим не спорил, просто я имел ввиду не блокировку на уровне iptables, а скорее настройками postfix, просто наверное неудачно выразился. Имелось ввиду, что надо закрыть аутентификацию через 25 порт в master.cf сервера. Я там дальше же специально написал, что блокировать 25 порт наглухо не стОит.

Если я тебя правильно понял, то вот по твоему промеру с гугла.
smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

This configuration turns off authentication and the STARTTLS option on port 25. It turns on the STARTTLS option on port 465, requires STARTTLS usage, enables authentication, and only allows clients to connect if authenticated.

И самое главное.
WARNING:
The request does not follow best security practice because you disable TLS (encryption) on your main mail relay port, exposing data sent through that port to third-party listeners and/or in-flight modification. The answer below satisfies the request, but best practice requires STARTTLS for the port 25 connection as well.



Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 696
    • Просмотр профиля
Re: Hosts.deny
« Ответ #12 : 15 Сентября 2020, 16:10:37 »
Если я тебя правильно понял, то вот по твоему промеру с гугла.

-o smtpd_tls_wrappermode=yes
Я не совсем понимаю, зачем и что там написано, надо целиком читать про что там, у меня TLS/SSL настроен, вся авторизация проходит через настройку клиента с помощью этой опции.
Нужно получить еще сертификаты, я Certbot использовал на https://letsencrypt.org/ В настройках mail.cf должно быть нечто вроде этого:


# TLS parameters
smtpd_tls_cert_file=/etc/letsencrypt/live/mail.youdomain.com/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/mail.youdomain.com/privkey.pem

smtpd_use_tls=yes
smtpd_tls_security_level = may
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_pipelining,reject_non_fqdn_recipient,reject_unknown_recipient_domain,reject_unauth_destination

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
« Последнее редактирование: 15 Сентября 2020, 16:39:47 от AlexDem »

Оффлайн Danlin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Hosts.deny
« Ответ #13 : 16 Сентября 2020, 09:29:08 »
Все это есть. Вот мой конфиг:

main.cf
Код: (txt) [Выделить]
# TLS parameters
smtpd_tls_cert_file=/etc/letsencrypt/live/domain/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/domain/privkey.pem
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_tls_security_options = noanonymous

smtpd_helo_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname
smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_pipelining,
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unknown_client_hostname,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unlisted_recipient,
        reject_unauth_destination,
        reject_rbl_client list.dsbl.org,
        reject_rbl_client sbl.spamhaus.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client dul.dnsbl.sorbs.net,
        reject_rbl_client dns.rfc-ignorant.org,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client dnsbl.sorbs.net,
        reject_rbl_client zen.spamhaus.org,
        reject_rhsbl_reverse_client dbl.spamhaus.org,
        reject_rhsbl_helo dbl.spamhaus.org,
        reject_rhsbl_sender dbl.spamhaus.org,
        reject_unauth_destination,
        check_policy_service unix:private/policyd-spf
smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_sender,
        reject_unknown_sender_domain
smtpd_relay_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        defer_unauth_destination
smtpd_client_restrictions =
        permit_mynetworks,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client dnsbl.sorbs.net,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client b.barracudacentral.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client psbl.surriel.com,
        reject_non_fqdn_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_invalid_hostname,
        reject_unauth_pipelining,
        reject_non_fqdn_helo_hostname,
        reject_invalid_helo_hostname

master.cf
Код: (txt) [Выделить]
smtp      inet  n       -       y       -       -       smtpd

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_tls_auth_only=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
  -o smtpd_milters=inet:localhost:8891

smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_auth_only = yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
  -o smtpd_milters=inet:localhost:8891
« Последнее редактирование: 07 Февраля 2021, 15:29:31 от ALiEN175 »

Оффлайн yaugenka

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: Hosts.deny
« Ответ #14 : 07 Февраля 2021, 15:26:13 »
Пытаюсь решить ту же проблему. Пока только удалось понять, что hotes.alow/deny работает только с теми службами, которые обращаются к TCP Wrappers. Следующая команда выдает список всего, что имеет такаю связь
~$ for f in /usr/sbin/*; do if ldd $f | grep libwrap > /dev/null; then echo $(basename $f); fi; done
maidag
sshd

Как видим, Postfix среди них нету, поэтому smtp запросы и не фильтруются.

См. https://serverfault.com/a/619732/498611

 

Страница сгенерирована за 0.092 секунд. Запросов: 25.