Forums:
Tengo un equipo con Mandriva 2008 de DHCP y firewall este esta configurado con su respectiva ip publica pero resulta es que cada cierto tiempo esa ip resulta "baneada" y es mandada a lista negra por ende no puedo mandar ni recibir correos de las cuentas que hay en los equipos, yo para probar cambie la ip del servidor la cambie por otra, pero a las pocas hora la nueva ip se volvio a pasar a lista negra. Me puse a leer en algunos server en que quede baneado y me dicen lo siguiente:
ATENCIÓN: A la hora de la detección, este IP fue infectado con, o NATting para una computadora infectada con un Spam en grandes cantidades que enviaba al Trojan - es participante o de facilitación de un botnet que envía Spam o que separa a Trojan del virus/del Spam.
ATENCIÓN: si usted quita simplemente en varias ocasiones este IP address del CBL sin la corrección del problema, el CBL parará el dejar de usted delist lo.
Esto es una infección identificada mal por el sistema de pesos americano bajo nombres como Virtumonde/Mondera, Tofsee y el “poder de Saturno”. La llamamos “Gheg”. Sobre todo redirectors de livefilestore.com de los Spam
Usted DEBE remendar su sistema y entonces fijar/quite al Trojan. Haga esto antes de supresión, o usted es más probable ser enumerado otra vez casi inmediatamente.
Si este IP es un cortafuego/entrada del NAT, usted DEBE configurar el NAT para prevenir conexiones el extranjero del puerto 25 al Internet excepto de sus servidores verdaderos del correo. Vea por favor nuestras recomendaciones en cortafuegos del NAT
Aca el scrips:
#!/bin/sh
case "$1" in
'start')
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
##abrir puerto 25 y 110
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
##Fin abrir puerto 25 y 110
/sbin/service iptables save
/sbin/service iptables restart
touch /var/lock/subsys/cortafuego
;;
'stop')
rm -f /var/lock/subsys/cortafuego
;;
*)
echo "Usage: $0 { start | stop }"
;;
esac
exit 0
Que puede estar sucediendo, sera el hosting donde estan los correos al que banean y yo por hacer release de los correos me baneo?
Gracias.
En tu post anterior te di
En tu post anterior te di una solución tipo parche:
http://www.ecualug.org/?q=2008/10/18/forums/squid_no_me_deja_bajar_ni_enviar_correos_pop3&page=1
Lo que te toca ahora es ver de donde viene el spam pilas con los log's que va a generar con las lineas que comenté y usa las herramientas antes mencionadas (iptraf, ntop, tcptrack, tcpdump), de lo contrario tendras siempre problemas con spam y tu ip sera baneada siempre.
Keep The Fire Burning.....
Stryper 1988
Creo que debes prohibir todo
Creo que debes prohibir todo tráfico hacia el puerto 25, a excepción de tu/s servidores de correo, los cuales deben bloquear todo tipo de relay.
Las ip privadas no deberían poder acceder directamente a los puertos 25 de los servidores de correo externos, ej mx.example.com.
En estos tiempos lo más práctico y seguro es usar un webmail para el efecto.
Saludos.
------------
Cogito Ergo Sum
------------
Cogito Ergo Sum
pero, como prohibo el
pero, como prohibo el trafico por el puerto 25, si en teoria ese puerto se ocupa solo para el tema de los correos, o acaso puede estar siendo ocupado para otras cosa?
Saludos y Gracias
____________________________________
Me gusta aprender, me gusta Linux !!
El puerto 25 TCP es usado
El puerto 25 TCP es usado por estandar para enviar y recibir e-mail entre servidores de correo y sus clientes.
Ahora que, en general no es necesario que todas las máquinas de una red puedan conectarse a cualquier servidor SMTP en internet, eso es lo que se pretende bloquear, solamente dejando pasar las comunicaciones por el puerto 25 desde y hacia tu servidor de correo de la red, eso evita que las máquinas con más de un virus, es decir Güin2 y algún otro virus, inunden de mails a otros servidores y provoquen que te pongan en lista negra ...
bye
:)
Y como se podria realizar
Y como se podria realizar ese proceso de "prohivición" al puerto 25 y que sea utilizado solo para la interacción de de correos desde la red interna a internet de buena forma y asi no ser baneado a cada rato.
Gracias.
____________________________________
Me gusta aprender, me gusta Linux !!
Mira tu
Mira tu línea:
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
pon ésto:
/sbin/iptables -A FORWARD -s -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 0/0 -i eth1 -p tcp --dport 25 -j DROP
Saludos
------------
Cogito Ergo Sum
------------
Cogito Ergo Sum
Disculpa, la linea que me
Disculpa, la linea que me habilita el puerto 110 la dejo tal cual? o ¿también la edito asociandola a la ip del servidor?
Gracias.
____________________________________
Me gusta aprender, me gusta Linux !!
Si no me equivoco el puerto
Si no me equivoco el puerto 110 ( pop ) sirve para bajar los correos desde los servidores, por ende no me parece un riesgo de envío de spam.
Déjala así no mas...
------------
Cogito Ergo Sum
------------
Cogito Ergo Sum