Нужна помощь по firewall

[galich]

Дамы и господа! Проблемка ... похоже у меня гдето в винде завелся вирь... каспер не видит. Этот товарищь шлет куда
то налево почту и меня провайдер постоянно блокирует 25 порт. Раздача инета и почтовый сервер на убунте. Помогите
составить файрвол так что бы только с одного айпишника я мог отправлять почту. Опишу как всё настроено -
АДСЛ модем - режим бриджа. Внешний IP 78.78.78.78 внутренний модема 192.168.1.1., сетевая карта 192.168.1.2,
шлюз на сетевой 192.168.1.1. Вторая сетевая в локалку 10.10.10.10. Итет раздает этот же комп.
Почтовый сервер настроен на 78.78.78.78. Пользователи локально
используют внутренний сервер, он в свою очередь отправляет почту во вне. Только на моем компе есть другой
почтовый ящик (провайдера) Нужно чтоб ни кто из внутренней 10.10.10.10/24 сети не смог отправлять по 25 порту
во вне ни чего, кроме одного компа.......шеф скоро прибъет   

[terrible_user]

Разве в логах почтовика нельзя увидеть с какого ящика постоянно отсылаются письма ?

Код: [Выделить]

iptables -A INPUT -p tcp --dport 25 -s 10.10.10.1  -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -s 10.10.10.0/24  -j DROP
Хотя что за история с

на моем компе есть другой почтовый ящик (провайдера)

.....


хотя пока вот писал и подумал, ведь вирус может не обязательно отправляет из почтовика (ну типа из оутлука и т.п.)
может ты меешь ввиду сама прорамма занимается рассылкой, тогда это, да в форвард

Код: [Выделить]

iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP

[galich]

Разве в логах почтовика нельзя увидеть с какого ящика постоянно отсылаются письма ?

Код: [Выделить]

iptables -A INPUT -p tcp --dport 25 -s 10.10.10.1  -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -s 10.10.10.0/24  -j DROP
Хотя что за история с

на моем компе есть другой почтовый ящик (провайдера)

Да, в том то и дело, что программа, точнее вирь, шлёт спам или ещё чего то там, помимо почтового сервера. Поэтому
ни каких логов то и нет. Запросил iog файл у провайдера, посмотрим какой я там спам шлю....
Завтра попробую применить ваш фильтр. Спасибо.


.....


хотя пока вот писал и подумал, ведь вирус может не обязательно отправляет из почтовика (ну типа из оутлука и т.п.)
может ты меешь ввиду сама прорамма занимается рассылкой, тогда это, да в форвард

Код: [Выделить]

iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP

Пользователь решил продолжить мысль 11 Августа 2009, 20:01:14:

Разве в логах почтовика нельзя увидеть с какого ящика постоянно отсылаются письма ?

Код: [Выделить]

iptables -A INPUT -p tcp --dport 25 -s 10.10.10.1  -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -s 10.10.10.0/24  -j DROP
Хотя что за история с

на моем компе есть другой почтовый ящик (провайдера)

Кстати, ещё вопрос - а где хранятся правила файрвола? Файла iptables у меня нет.

.....


хотя пока вот писал и подумал, ведь вирус может не обязательно отправляет из почтовика (ну типа из оутлука и т.п.)
может ты меешь ввиду сама прорамма занимается рассылкой, тогда это, да в форвард

Код: [Выделить]

iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP

[terrible_user]

Кстати, ещё вопрос - а где хранятся правила файрвола? Файла iptables у меня нет.

Ну как-то же у тебя настроен шлюз? А где они точно лежать придется тебе поискать

Вот попробуй такое

Код: [Выделить]

# Разрешает отправку с адреса 10.10.10.1
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
# Блокирует все подключения идущие на 25 порт ЧЕРЕЗ шлюз и логирует
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j LOG --log-prefix "MAIL-BLOCK "
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP
Потом смотри syslog  и увидишь кто отправляет

[galich]

Кстати, ещё вопрос - а где хранятся правила файрвола? Файла iptables у меня нет.

Ну как-то же у тебя настроен шлюз? А где они точно лежать придется тебе поискать

Вот попробуй такое

Код: [Выделить]

# Разрешает отправку с адреса 10.10.10.1
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
# Блокирует все подключения идущие на 25 порт ЧЕРЕЗ шлюз и логирует
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j LOG --log-prefix "MAIL-BLOCK "
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP
Потом смотри syslog  и увидишь кто отправляет

Кстати, а где будет  лог файл MAIL-BLOCK?
посмотрел log и обнаружил
Aug 11 21:44:50 mail kernel: [15873.347324] nginx[8284]: segfault at 00000004 eip 08059e67 esp bfa09b70 error 4
Aug 11 21:44:55 mail kernel: [15878.343064] printk: 1365 messages suppressed.
Aug 11 21:44:55 mail kernel: [15878.343076] nginx[9666]: segfault at 00000004 eip 08059e67 esp bfa09b70 error 4
Aug 11 21:45:00 mail kernel: [15883.347392] printk: 1376 messages suppressed.
Aug 11 21:45:00 mail kernel: [15883.347401] nginx[11080]: segfault at 00000004 eip 08059e67 esp bfa09b70 error 4

Записей таких очень много. Что это может быть?
Пользователь решил продолжить мысль 12 Августа 2009, 07:36:09:

Кстати, ещё вопрос - а где хранятся правила файрвола? Файла iptables у меня нет.

Ну как-то же у тебя настроен шлюз? А где они точно лежать придется тебе поискать

Вот попробуй такое

Код: [Выделить]

# Разрешает отправку с адреса 10.10.10.1
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
# Блокирует все подключения идущие на 25 порт ЧЕРЕЗ шлюз и логирует
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j LOG --log-prefix "MAIL-BLOCK "
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP
Потом смотри syslog  и увидишь кто отправляет

Что то я поздно сообразил. А как в таком случае локальные пользователи будут отправлять почту
на свой почтовый сервер? Скорее всего надо как то делать так чтоб при переходе с интерфейса
в локалке 10.10.10.0/24 на 192.168.1.2 отбрасывались пакеты. Или я не прав?

[terrible_user]

Что то я поздно сообразил. А как в таком случае локальные пользователи будут отправлять почту
на свой почтовый сервер? Скорее всего надо как то делать так чтоб при переходе с интерфейса
в локалке 10.10.10.0/24 на 192.168.1.2 отбрасывались пакеты. Или я не прав?

Если что-то отправляет почту не чере локальный сервер, то пакет будет отправлен на какой нибудь адрес в интернети - соответственно будет заблокирован в цепочке FORWADR
Если почта отправляется через локальные - то покет будет отправлен на локальный адрес сервер 10.10.10.1 - и тут будет действовать  уже другое правило INPUT
а когда сам сервер будет отсылать в интернет - цепочка OUTPUT

Так как уже выяснили что это не через локальный отправляется - блокируем forward

P/S по этим

Код: [Выделить]

iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT я имел ввиду надо адрес твоего компа с которого будет разрешение а не адрес сервера если тебя смутила 1 в конце

[galich]

Что то я поздно сообразил. А как в таком случае локальные пользователи будут отправлять почту
на свой почтовый сервер? Скорее всего надо как то делать так чтоб при переходе с интерфейса
в локалке 10.10.10.0/24 на 192.168.1.2 отбрасывались пакеты. Или я не прав?

Если что-то отправляет почту не чере локальный сервер, то пакет будет отправлен на какой нибудь адрес в интернети - соответственно будет заблокирован в цепочке FORWADR
Если почта отправляется через локальные - то покет будет отправлен на локальный адрес сервер 10.10.10.1 - и тут будет действовать  уже другое правило INPUT
а когда сам сервер будет отсылать в интернет - цепочка OUTPUT

Так как уже выяснили что это не через локальный отправляется - блокируем forward

P/S по этим

Код: [Выделить]

iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT я имел ввиду надо адрес твоего компа с которого будет разрешение а не адрес сервера если тебя смутила 1 в конце

Понятно. Спасибо.
Ещё вопрос --log-prefix "MAIL-BLOCK " где искать запись по такому событию. Что то я не смог найти куда лог пишется.

[Silver Ghost]

tcpdump -i eth0 port 25
С машины с вирусняком будет дикий трафик. потом лечите.