Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Нужна помощь по firewall  (Прочитано 1299 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн galich

  • Автор темы
  • Активист
  • *
  • Сообщений: 253
  • От всех бед - один Reset
    • Просмотр профиля
Нужна помощь по firewall
« : 11 Августа 2009, 16:14:58 »
Дамы и господа! Проблемка ... похоже у меня гдето в винде завелся вирь... каспер не видит. Этот товарищь шлет куда
то налево почту и меня провайдер постоянно блокирует 25 порт. Раздача инета и почтовый сервер на убунте. Помогите
составить файрвол так что бы только с одного айпишника я мог отправлять почту. Опишу как всё настроено -
АДСЛ модем - режим бриджа. Внешний IP 78.78.78.78 внутренний модема 192.168.1.1., сетевая карта 192.168.1.2,
шлюз на сетевой 192.168.1.1. Вторая сетевая в локалку 10.10.10.10. Итет раздает этот же комп.
Почтовый сервер настроен на 78.78.78.78. Пользователи локально
используют внутренний сервер, он в свою очередь отправляет почту во вне. Только на моем компе есть другой
почтовый ящик (провайдера) Нужно чтоб ни кто из внутренней 10.10.10.10/24 сети не смог отправлять по 25 порту
во вне ни чего, кроме одного компа.......шеф скоро прибъет  :'( 
Штырлиц не любил торговцев.....ни разу.

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
Re: Нужна помощь по firewall
« Ответ #1 : 11 Августа 2009, 17:06:43 »
Разве в логах почтовика нельзя увидеть с какого ящика постоянно отсылаются письма ?


iptables -A INPUT -p tcp --dport 25 -s 10.10.10.1  -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -s 10.10.10.0/24  -j DROP

Хотя что за история с
на моем компе есть другой почтовый ящик (провайдера)


.....


хотя пока вот писал и подумал, ведь вирус может не обязательно отправляет из почтовика (ну типа из оутлука и т.п.)
может ты меешь ввиду сама прорамма занимается рассылкой, тогда это, да в форвард
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP
« Последнее редактирование: 11 Августа 2009, 17:08:25 от terrible_user »
Бери больше, кидай дальше

Оффлайн galich

  • Автор темы
  • Активист
  • *
  • Сообщений: 253
  • От всех бед - один Reset
    • Просмотр профиля
Re: Нужна помощь по firewall
« Ответ #2 : 11 Августа 2009, 19:17:34 »
Разве в логах почтовика нельзя увидеть с какого ящика постоянно отсылаются письма ?


iptables -A INPUT -p tcp --dport 25 -s 10.10.10.1  -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -s 10.10.10.0/24  -j DROP

Хотя что за история с
на моем компе есть другой почтовый ящик (провайдера)
Да, в том то и дело, что программа, точнее вирь, шлёт спам или ещё чего то там, помимо почтового сервера. Поэтому
ни каких логов то и нет. Запросил iog файл у провайдера, посмотрим какой я там спам шлю....
Завтра попробую применить ваш фильтр. Спасибо.


.....


хотя пока вот писал и подумал, ведь вирус может не обязательно отправляет из почтовика (ну типа из оутлука и т.п.)
может ты меешь ввиду сама прорамма занимается рассылкой, тогда это, да в форвард
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP

Пользователь решил продолжить мысль 11 Августа 2009, 20:01:14:
Разве в логах почтовика нельзя увидеть с какого ящика постоянно отсылаются письма ?


iptables -A INPUT -p tcp --dport 25 -s 10.10.10.1  -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -s 10.10.10.0/24  -j DROP

Хотя что за история с
на моем компе есть другой почтовый ящик (провайдера)

Кстати, ещё вопрос - а где хранятся правила файрвола? Файла iptables у меня нет.

.....


хотя пока вот писал и подумал, ведь вирус может не обязательно отправляет из почтовика (ну типа из оутлука и т.п.)
может ты меешь ввиду сама прорамма занимается рассылкой, тогда это, да в форвард
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP
« Последнее редактирование: 11 Августа 2009, 20:01:14 от galich »
Штырлиц не любил торговцев.....ни разу.

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
Re: Нужна помощь по firewall
« Ответ #3 : 11 Августа 2009, 20:26:19 »
Цитировать
Кстати, ещё вопрос - а где хранятся правила файрвола? Файла iptables у меня нет.

Ну как-то же у тебя настроен шлюз? А где они точно лежать придется тебе поискать

Вот попробуй такое
# Разрешает отправку с адреса 10.10.10.1
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
# Блокирует все подключения идущие на 25 порт ЧЕРЕЗ шлюз и логирует
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j LOG --log-prefix "MAIL-BLOCK "
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP

Потом смотри syslog  и увидишь кто отправляет
« Последнее редактирование: 11 Августа 2009, 20:28:02 от terrible_user »
Бери больше, кидай дальше

Оффлайн galich

  • Автор темы
  • Активист
  • *
  • Сообщений: 253
  • От всех бед - один Reset
    • Просмотр профиля
Re: Нужна помощь по firewall
« Ответ #4 : 11 Августа 2009, 20:46:45 »
Цитировать
Кстати, ещё вопрос - а где хранятся правила файрвола? Файла iptables у меня нет.

Ну как-то же у тебя настроен шлюз? А где они точно лежать придется тебе поискать

Вот попробуй такое
# Разрешает отправку с адреса 10.10.10.1
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
# Блокирует все подключения идущие на 25 порт ЧЕРЕЗ шлюз и логирует
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j LOG --log-prefix "MAIL-BLOCK "
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP

Потом смотри syslog  и увидишь кто отправляет
Кстати, а где будет  лог файл MAIL-BLOCK?
посмотрел log и обнаружил
Aug 11 21:44:50 mail kernel: [15873.347324] nginx[8284]: segfault at 00000004 eip 08059e67 esp bfa09b70 error 4
Aug 11 21:44:55 mail kernel: [15878.343064] printk: 1365 messages suppressed.
Aug 11 21:44:55 mail kernel: [15878.343076] nginx[9666]: segfault at 00000004 eip 08059e67 esp bfa09b70 error 4
Aug 11 21:45:00 mail kernel: [15883.347392] printk: 1376 messages suppressed.
Aug 11 21:45:00 mail kernel: [15883.347401] nginx[11080]: segfault at 00000004 eip 08059e67 esp bfa09b70 error 4

Записей таких очень много. Что это может быть?

Пользователь решил продолжить мысль 12 Августа 2009, 07:36:09:
Цитировать
Кстати, ещё вопрос - а где хранятся правила файрвола? Файла iptables у меня нет.

Ну как-то же у тебя настроен шлюз? А где они точно лежать придется тебе поискать

Вот попробуй такое
# Разрешает отправку с адреса 10.10.10.1
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT
# Блокирует все подключения идущие на 25 порт ЧЕРЕЗ шлюз и логирует
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j LOG --log-prefix "MAIL-BLOCK "
iptables -A FORWARD -s 10.10.10.0/24 -p tcp --dport 25 -j DROP

Потом смотри syslog  и увидишь кто отправляет

Что то я поздно сообразил. А как в таком случае локальные пользователи будут отправлять почту
на свой почтовый сервер? Скорее всего надо как то делать так чтоб при переходе с интерфейса
в локалке 10.10.10.0/24 на 192.168.1.2 отбрасывались пакеты. Или я не прав?
« Последнее редактирование: 12 Августа 2009, 07:36:09 от galich »
Штырлиц не любил торговцев.....ни разу.

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
Re: Нужна помощь по firewall
« Ответ #5 : 12 Августа 2009, 14:20:20 »
Что то я поздно сообразил. А как в таком случае локальные пользователи будут отправлять почту
на свой почтовый сервер? Скорее всего надо как то делать так чтоб при переходе с интерфейса
в локалке 10.10.10.0/24 на 192.168.1.2 отбрасывались пакеты. Или я не прав?

Если что-то отправляет почту не чере локальный сервер, то пакет будет отправлен на какой нибудь адрес в интернети - соответственно будет заблокирован в цепочке FORWADR
Если почта отправляется через локальные - то покет будет отправлен на локальный адрес сервер 10.10.10.1 - и тут будет действовать  уже другое правило INPUT
а когда сам сервер будет отсылать в интернет - цепочка OUTPUT

Так как уже выяснили что это не через локальный отправляется - блокируем forward

P/S по этим
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT я имел ввиду надо адрес твоего компа с которого будет разрешение а не адрес сервера если тебя смутила 1 в конце
« Последнее редактирование: 12 Августа 2009, 14:24:58 от terrible_user »
Бери больше, кидай дальше

Оффлайн galich

  • Автор темы
  • Активист
  • *
  • Сообщений: 253
  • От всех бед - один Reset
    • Просмотр профиля
Re: Нужна помощь по firewall
« Ответ #6 : 12 Августа 2009, 15:59:24 »
Что то я поздно сообразил. А как в таком случае локальные пользователи будут отправлять почту
на свой почтовый сервер? Скорее всего надо как то делать так чтоб при переходе с интерфейса
в локалке 10.10.10.0/24 на 192.168.1.2 отбрасывались пакеты. Или я не прав?

Если что-то отправляет почту не чере локальный сервер, то пакет будет отправлен на какой нибудь адрес в интернети - соответственно будет заблокирован в цепочке FORWADR
Если почта отправляется через локальные - то покет будет отправлен на локальный адрес сервер 10.10.10.1 - и тут будет действовать  уже другое правило INPUT
а когда сам сервер будет отсылать в интернет - цепочка OUTPUT

Так как уже выяснили что это не через локальный отправляется - блокируем forward

P/S по этим
iptables -A FORWARD -s 10.10.10.1  -p tcp --dport 25 -j ACCEPT я имел ввиду надо адрес твоего компа с которого будет разрешение а не адрес сервера если тебя смутила 1 в конце


Понятно. Спасибо.
Ещё вопрос --log-prefix "MAIL-BLOCK " где искать запись по такому событию. Что то я не смог найти куда лог пишется.
Штырлиц не любил торговцев.....ни разу.

Оффлайн Silver Ghost

  • Участник
  • *
  • Сообщений: 107
    • Просмотр профиля
Re: Нужна помощь по firewall
« Ответ #7 : 12 Августа 2009, 16:46:01 »
tcpdump -i eth0 port 25
С машины с вирусняком будет дикий трафик. потом лечите.

 

Страница сгенерирована за 0.054 секунд. Запросов: 23.