info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
uporczywe logowanie
11 views
Skip to first unread message
LFC
Mar 31, 2020, 11:20:03 AM3/31/20
to
Zauważyłem, ze host przedstawiajacy się IP - 92.118.38.82 o nazwie
ip-38-82-ZervDNS uparcie probuje sie wbić na port 25.
Dostaje odmowę dnsbl spamhausa i zanim zniknie "time waiting" w netstat
ponawia próby.
Dorzuciłem mu w pliku acces (sendmail) REJECTA, ale nic to nie zmieniło,
zmienił sie tylko wpis w mailogu z dnsbl-owskiej odmowy na acces denied.
Zarzuciłem regułę w iptables dla tego IP na inpucie REJECTA i NIC!
Dalej puka. Dorzuciłem DROPA i NIC.
Próbowalem po nazwie dopisać regułę, ale iptables się wypina, ze niby
nie znajduje hosta.
Fakt że w maillogu jest may be forged, ale IP to ip. Co jest grane?
LFC
ip-38-82-ZervDNS uparcie probuje sie wbić na port 25.
Dostaje odmowę dnsbl spamhausa i zanim zniknie "time waiting" w netstat
ponawia próby.
Dorzuciłem mu w pliku acces (sendmail) REJECTA, ale nic to nie zmieniło,
zmienił sie tylko wpis w mailogu z dnsbl-owskiej odmowy na acces denied.
Zarzuciłem regułę w iptables dla tego IP na inpucie REJECTA i NIC!
Dalej puka. Dorzuciłem DROPA i NIC.
Próbowalem po nazwie dopisać regułę, ale iptables się wypina, ze niby
nie znajduje hosta.
Fakt że w maillogu jest may be forged, ale IP to ip. Co jest grane?
LFC
LFC
Mar 31, 2020, 1:40:02 PM3/31/20
to
W dniu 2020-03-31 o 17:06, LFC pisze:
Sorry. Głupota i zapomnienie. Dodawanie łańcucha iptables przez -A,
skoro wcześniej było ACCEPT jest bez sensu. Trzeba było -I, a potem
killall -HUP sendmail i pa,pa.
LFC
skoro wcześniej było ACCEPT jest bez sensu. Trzeba było -I, a potem
killall -HUP sendmail i pa,pa.
LFC
KIKI
May 22, 2020, 3:43:24 PM5/22/20
to
On 31.03.2020 19:32, LFC wrote:
> Sorry. Głupota i zapomnienie. Dodawanie łańcucha iptables przez -A,
> skoro wcześniej było ACCEPT jest bez sensu. Trzeba było -I, a potem
> killall -HUP sendmail i pa,pa.
>
Czy dalej ci puka ten IP ?
> Sorry. Głupota i zapomnienie. Dodawanie łańcucha iptables przez -A,
> skoro wcześniej było ACCEPT jest bez sensu. Trzeba było -I, a potem
> killall -HUP sendmail i pa,pa.
>
LFC
May 23, 2020, 5:40:02 AM5/23/20
to
W dniu 2020-05-22 o 21:43, KIKI pisze:
>
> Czy dalej ci puka ten IP ?
>
Dopisałem go w regułach iptables dostał REJECT --with-tcp-reset na
INPUT, więc nie może nawiązać połączenia.
Pośledziłem maillog i takie hosty, które pukają szcególnie z
ESPN/MAIL... w logu bardziej nachalnie dostały to samo.
Do tego odpaliłem milter greylist i serwer ma dużo więcej spokoju.
Myśle jeszcze o fail2ban, bo w zasadzie zrobiłem ręcznie to, co on robi,
ale jakoś nie mam na tyle czasu i spokoju w pracy, żeby pogooglać i
poczytać nt konfiguracji.
Zastanawiam, się też, czy nie będzie to za dużo dla maszyny, bo jest to
zwykły dual core E5700, z 4 GB RAM, a ma odpalone serwery pocztowe
dovecota, sendmaila z milterami spamassassina, regexa, clamava i greylista.
LFC
>
> Czy dalej ci puka ten IP ?
>
INPUT, więc nie może nawiązać połączenia.
Pośledziłem maillog i takie hosty, które pukają szcególnie z
ESPN/MAIL... w logu bardziej nachalnie dostały to samo.
Do tego odpaliłem milter greylist i serwer ma dużo więcej spokoju.
Myśle jeszcze o fail2ban, bo w zasadzie zrobiłem ręcznie to, co on robi,
ale jakoś nie mam na tyle czasu i spokoju w pracy, żeby pogooglać i
poczytać nt konfiguracji.
Zastanawiam, się też, czy nie będzie to za dużo dla maszyny, bo jest to
zwykły dual core E5700, z 4 GB RAM, a ma odpalone serwery pocztowe
dovecota, sendmaila z milterami spamassassina, regexa, clamava i greylista.
LFC
Lemat
May 23, 2020, 6:23:25 AM5/23/20
to
W dniu 23.05.2020 o 11:32, LFC pisze:
zamiast iptables musiałbyś zrobić ipset
dodawanie wpisu:
ipset add spamers 1.2.3.4/5
codzienny zrzut pamięci do pliku:
# cat /etc/cron.daily/ipset
#!/bin/bash
/sbin/ipset save -file /etc/default/spammers.ipset
i konfiguracja iptables:
if [ -f /etc/default/spammers.ipset ];
then
ipset destroy webspamers
ipset destroy spamers
ipset restore -file /etc/default/spammers.ipset
${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
80,443 -m set --match-set webspamers src -j DROP
${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
25,587,465,110,143,993,995 -m set --match-set spamers src -j DROP
fi
--
Pozdrawiam
Lemat
dodawanie wpisu:
ipset add spamers 1.2.3.4/5
codzienny zrzut pamięci do pliku:
# cat /etc/cron.daily/ipset
#!/bin/bash
/sbin/ipset save -file /etc/default/spammers.ipset
i konfiguracja iptables:
if [ -f /etc/default/spammers.ipset ];
then
ipset destroy webspamers
ipset destroy spamers
ipset restore -file /etc/default/spammers.ipset
${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
80,443 -m set --match-set webspamers src -j DROP
${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
25,587,465,110,143,993,995 -m set --match-set spamers src -j DROP
fi
--
Pozdrawiam
Lemat
Piotr Lechowicz
May 24, 2020, 4:44:02 PM5/24/20
to
W dniu 2020-05-23 o 12:22, Lemat pisze:
A to też jakimś skryptem robisz czy w manualu?
Tak kombinuję, że może po 3 banie dobowym fail2ban by wrzucał dożywotnio w takiego ipseta...
Piotr
A to też jakimś skryptem robisz czy w manualu?
Tak kombinuję, że może po 3 banie dobowym fail2ban by wrzucał dożywotnio w takiego ipseta...
Piotr
Lemat
May 24, 2020, 7:24:43 PM5/24/20
to
W dniu 24.05.2020 o 22:43, Piotr Lechowicz pisze:
I fail2banem i manualnie.
--
Pozdrawiam
Lemat
--
Pozdrawiam
Lemat
LFC
Jun 1, 2020, 8:20:02 AM6/1/20
to
W dniu 23.05.2020 o 12:22, Lemat pisze:
>
> zamiast iptables musiałbyś zrobić ipset
>
> dodawanie wpisu:
> ipset add spamers 1.2.3.4/5
>
> codzienny zrzut pamięci do pliku:
>
> # cat /etc/cron.daily/ipset
> #!/bin/bash
> /sbin/ipset save -file /etc/default/spammers.ipset
>
> i konfiguracja iptables:
>
> if [ -f /etc/default/spammers.ipset ];
> then
> ipset destroy webspamers
> ipset destroy spamers
> ipset restore -file /etc/default/spammers.ipset
> ${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
> 80,443 -m set --match-set webspamers src -j DROP
> ${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
> 25,587,465,110,143,993,995 -m set --match-set spamers src -j DROP
> fi
>
Posłuchałem Twojej rady i odpaliłem IPSET.
W kwestii formalnej, mam 2 pytania, choć domyślam się:
że przy dodawaniu do tablicy kolejnego adresu IP nie trzeba opdalać
ponownie reguły Iptables, bo zostanie on automatycznie uwzględniony w
secie blokującym -Tak?
Ipset nie musi być odpalone w trybie demona, podobnie jak iptables, bo
jego rola polega, podobnie jak iptables, na jednokrotnym odpaleniu reguł
przy starcie?
LFC
>
> zamiast iptables musiałbyś zrobić ipset
>
> dodawanie wpisu:
> ipset add spamers 1.2.3.4/5
>
> codzienny zrzut pamięci do pliku:
>
> # cat /etc/cron.daily/ipset
> #!/bin/bash
> /sbin/ipset save -file /etc/default/spammers.ipset
>
> i konfiguracja iptables:
>
> if [ -f /etc/default/spammers.ipset ];
> then
> ipset destroy webspamers
> ipset destroy spamers
> ipset restore -file /etc/default/spammers.ipset
> ${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
> 80,443 -m set --match-set webspamers src -j DROP
> ${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
> 25,587,465,110,143,993,995 -m set --match-set spamers src -j DROP
> fi
>
W kwestii formalnej, mam 2 pytania, choć domyślam się:
że przy dodawaniu do tablicy kolejnego adresu IP nie trzeba opdalać
ponownie reguły Iptables, bo zostanie on automatycznie uwzględniony w
secie blokującym -Tak?
Ipset nie musi być odpalone w trybie demona, podobnie jak iptables, bo
jego rola polega, podobnie jak iptables, na jednokrotnym odpaleniu reguł
przy starcie?
LFC
Lemat
Jun 1, 2020, 9:31:14 AM6/1/20
to
W dniu 01.06.2020 o 14:14, LFC pisze:
2x tak
--
Pozdrawiam
Lemat
--
Pozdrawiam
Lemat
0 new messages