Титла: Gnu-pop3 забиванеforbidden
Публикувано от: Gizmo в Nov 06, 2006, 12:36
здравейте, имам следният проблем
mail server : Mandrake
POP3: gnu-pop3d
SMTP: Postfix + ClamAV + Spamassassin
проблема се състои в следното , POP3-то спира да работи след около 4-5 минути след рестарт на машината,daemon-те стартират нормално без грешки
следващото нещо което успоредно с това се получи е че не мога да се логна към Webmin:
Forbidden
You were denied access because:
Access denied by access control list.
mail server : Mandrake
POP3: gnu-pop3d
SMTP: Postfix + ClamAV + Spamassassin
проблема се състои в следното , POP3-то спира да работи след около 4-5 минути след рестарт на машината,daemon-те стартират нормално без грешки
следващото нещо което успоредно с това се получи е че не мога да се логна към Webmin:
Forbidden
You were denied access because:
Access denied by access control list.
Титла: Gnu-pop3 забиванеforbidden
Публикувано от: Gizmo в Nov 08, 2006, 09:24
проблема е в това :
91.92.218.189:4633
91.92.218.189:4517
91.92.218.189:4407
91.92.218.189:4332
91.92.218.189:4241
89.25.121.200:4461
89.25.121.200:4337
89.25.121.200:4324
89.25.121.200:4304
89.25.121.200:4107
89.25.121.200:3880
87.126.92.37:2913
87.126.92.37:2888
87.126.92.37:2872
87.126.92.37:2833
87.126.92.37:2796
87.126.92.37:2762
87.126.73.20:3548
87.126.73.20:3530
87.126.73.20:3507
87.126.73.20:3498
87.126.73.20:3472
87.126.199.199:2670
87.126.136.185:3954
87.126.136.185:3913
87.126.136.185:3850
87.126.136.185:3827
87.126.136.185:3794
87.126.136.185:3655
87.126.136.185:3490
87.116.120.3:2077
87.116.120.3:1957
85.196.188.168:1626
85.196.188.168:1621
85.196.188.168:1620
85.196.188.168:1607
85.196.188.168:1593
85.187.217.179:2605
85.130.114.26:3286
85.130.114.26:3219
84.252.1.179:2871
83.97.31.211:65259
83.97.31.211:62315
83.97.31.211:61965
83.97.31.211:61689
83.97.31.211:61625
83.97.31.211:61497
83.97.24.88:3962
83.97.24.88:3935
83.97.24.88:3926
83.97.24.88:3852
83.97.24.88:3827
83.228.47.30:3199
83.228.47.30:3146
83.228.47.30:3086
83.228.47.30:3049
83.228.3.7:2661
83.228.3.7:2633
83.228.3.7:2617
83.228.3.7:2555
83.228.3.7:2464
218.28.177.108:2838
217.75.150.136:61875
217.75.150.136:60298
217.75.150.136:58958
217.75.150.136:55738
217.75.150.136:55724
217.75.150.136:50550
217.75.143.209:3329
217.75.143.209:3239
217.75.143.209:3231
213.240.224.220:25080
213.240.224.220:24842
212.72.211.34:2199
212.72.211.34:2148
212.72.211.34:2138
212.72.211.34:2126
212.72.211.34:2100
212.72.211.34:1996
212.72.211.34:1990
212.72.211.34:1852
212.72.211.34:1847
212.72.211.34:1844
195.34.114.57:3324
всички имат обръщение към POP3-то, port 110, реално трябва да имат обръщения само host-ве от вътрешната мрежа 192.168.х.х и 4 host-a от вън. Явно става дума за DoS атака
кой начин е най-подходящ чрез използването на iptables да предотвратя това.
91.92.218.189:4633
91.92.218.189:4517
91.92.218.189:4407
91.92.218.189:4332
91.92.218.189:4241
89.25.121.200:4461
89.25.121.200:4337
89.25.121.200:4324
89.25.121.200:4304
89.25.121.200:4107
89.25.121.200:3880
87.126.92.37:2913
87.126.92.37:2888
87.126.92.37:2872
87.126.92.37:2833
87.126.92.37:2796
87.126.92.37:2762
87.126.73.20:3548
87.126.73.20:3530
87.126.73.20:3507
87.126.73.20:3498
87.126.73.20:3472
87.126.199.199:2670
87.126.136.185:3954
87.126.136.185:3913
87.126.136.185:3850
87.126.136.185:3827
87.126.136.185:3794
87.126.136.185:3655
87.126.136.185:3490
87.116.120.3:2077
87.116.120.3:1957
85.196.188.168:1626
85.196.188.168:1621
85.196.188.168:1620
85.196.188.168:1607
85.196.188.168:1593
85.187.217.179:2605
85.130.114.26:3286
85.130.114.26:3219
84.252.1.179:2871
83.97.31.211:65259
83.97.31.211:62315
83.97.31.211:61965
83.97.31.211:61689
83.97.31.211:61625
83.97.31.211:61497
83.97.24.88:3962
83.97.24.88:3935
83.97.24.88:3926
83.97.24.88:3852
83.97.24.88:3827
83.228.47.30:3199
83.228.47.30:3146
83.228.47.30:3086
83.228.47.30:3049
83.228.3.7:2661
83.228.3.7:2633
83.228.3.7:2617
83.228.3.7:2555
83.228.3.7:2464
218.28.177.108:2838
217.75.150.136:61875
217.75.150.136:60298
217.75.150.136:58958
217.75.150.136:55738
217.75.150.136:55724
217.75.150.136:50550
217.75.143.209:3329
217.75.143.209:3239
217.75.143.209:3231
213.240.224.220:25080
213.240.224.220:24842
212.72.211.34:2199
212.72.211.34:2148
212.72.211.34:2138
212.72.211.34:2126
212.72.211.34:2100
212.72.211.34:1996
212.72.211.34:1990
212.72.211.34:1852
212.72.211.34:1847
212.72.211.34:1844
195.34.114.57:3324
всички имат обръщение към POP3-то, port 110, реално трябва да имат обръщения само host-ве от вътрешната мрежа 192.168.х.х и 4 host-a от вън. Явно става дума за DoS атака
кой начин е най-подходящ чрез използването на iptables да предотвратя това.
Титла: Gnu-pop3 забиванеforbidden
Публикувано от: laskov в Nov 08, 2006, 10:23
| Цитат |
| iptables -I INPUT -p tcp ! -s 192.168.0.0/16 --dport 110 -j DROP iptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd --dport 110 -j ACCEPT |
Първият ред спира всички различни от 192.168.ccc.ddd
Във втория замени aaa.bbb.ccc.ddd с IP-to, което искаш да разрешиш и го повтори още три пъти като заместваш с останалите IP-та. Този вариант ще ти свърши работа за конкретния проблем, но би било добре да се разшири, за да спира и други атаки.
Титла: Gnu-pop3 забиванеforbidden
Публикувано от: laskov в Nov 08, 2006, 16:41
Първо написах
Имах обаче едно наум и го пробвах при мен. Не стана! Смених местото на удивителната:
и стана. В man обаче се твърди, че е правилен първият вариант. 
| Цитат |
| iptables -I INPUT -p tcp -s !192.168.0.0/16 --dport 110 -j DROP iptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd --dport 110 -j ACCEPT |
| Цитат |
| iptables -I INPUT -p tcp ! -s 192.168.0.0/16 --dport 110 -j DROP iptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd --dport 110 -j ACCEPT |
Титла: Gnu-pop3 забиванеforbidden
Публикувано от: Gizmo в Nov 08, 2006, 20:23
ограничение по IP адреси не върши работа , защото имам user-и които често пътуват и се налага да се връзват към мейл сървера.
това би свършило работа
iptables -A INPUT -p tcp --syn --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 4 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
това би свършило работа
iptables -A INPUT -p tcp --syn --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 4 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP