вирусы шлют письма через чужие open relay

0

0

root@semgu:/home/baldden/iso# tcpdump -i eth1 net 192.168 | grep smtp

09:51:13.225019 IP 192.168.13.220.3226 > 62.29.136.36.smtp: S 3596657151:3596657151(0) win 16384 <mss 1460,nop,nop,sackOK>
09:51:13.668847 IP 192.168.13.125.perf-port > mx4.hotbox.ru.smtp: S 2899592:2899592(0) win 8192 <mss 1460,nop,nop,sackOK>
09:51:14.126254 IP 192.168.13.220.3227 > 80.86.106.45.smtp: S 3596921392:3596921392(0) win 16384 <mss 1460,nop,nop,sackOK>
09:51:14.177397 IP 192.168.13.220.3229 > 80.86.106.45.smtp: S 3597778108:3597778108(0) win 16384 <mss 1460,nop,nop,sackOK>
09:51:14.927369 IP 192.168.13.220.3228 > mx1.vol.cz.smtp: S 3597166004:3597166004(0) win 16384 <mss 1460,nop,nop,sackOK>
09:51:16.655893 IP 192.168.13.249.3118 > 63.251.171.167.smtp: S 6747031:6747031(0) win 8192 <mss 1460,nop,nop,sackOK>
09:51:17.130461 IP 192.168.13.220.3229 > 80.86.106.45.smtp: S 3597778108:3597778108(0) win 16384 <mss 1460,nop,nop,sackOK>


Каким образом они шлют наружу ?
NAT не настроин, в нет можно ходит только через сквид.

root@semgu:/home/baldden/iso# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Ссылка

←	Почтовый сервер + адресная книга

Локальные адреса в Postfix

→

Ну файрволл у тебе все разрешает :), покажи еще что у тебя в роутинге прописано (route -n), наверно и там все наружу роутится.

gfh ★★★
(15.06.04 08:52:10 MSD)

это только запросы, ответов они не получают

anonymous
(15.06.04 09:33:08 MSD)

Ссылка

Ответ на: комментарий от gfh 15.06.04 08:52:10 MSD

root@semgu:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
80.241.2.48     0.0.0.0         255.255.255.252 U     0      0        0 eth1
192.168.13.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         80.241.2.49     0.0.0.0         UG    1      0        0 eth1




как оно может роутится??? я же не могу реальные ip пинговать с локальных тачек

anonymous
(15.06.04 12:02:42 MSD)

Ответ на: комментарий от anonymous 15.06.04 12:02:42 MSD

Страшного нет ничего. Как уже писали выше уходят только запросы с "серых" адресов, на этом всё и заканчивается. Причина почему уходят:, видимо, включён форвардинг между сетевыми интерфейсами (/proc/sys/net/ipv4/ip_forward = 1).

anonymous
(15.06.04 17:55:59 MSD)

Ответ на: комментарий от anonymous 15.06.04 17:55:59 MSD

ip_forward включон, т.к. iptables перанаправляет весь трафик идущий на 80 порт - на локальную тачку.

Если вы говорите что это толко запросы. Почему админ провайдера матом ругается за паразитивный трафик?

anonymous
(16.06.04 05:33:40 MSD)

Ответ на: комментарий от anonymous 16.06.04 05:33:40 MSD

top

anonymous
(17.06.04 08:12:46 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Почтовый сервер + адресная книга

Admin

Локальные адреса в Postfix

→

Похожие темы