Изпечатай

[bobibiturboto]

Имам компютър с инсталиран него Slack12 който ползвам като рутер с NAT на eth0 e входа от ADSL модема а на eth1 са вързани компютрите от службата искам да им блокирам порт 25 защото хващат вируси и изпращат спам и от антиспам сърварите ми блокират мейл сървара който е отделен комп вързан директно за ADSL правилата на iptables са (със въведени от мен опитиза блокиране на порта:

Примерен код

# Generated by iptables-save v1.3.8 on Mon Apr  7 10:39:30 2008 *nat :PREROUTING ACCEPT [1091957:101464542] :POSTROUTING ACCEPT [49195:3675729] :OUTPUT ACCEPT [49193:3675577] -A POSTROUTING -s 192.168.7.0/255.255.255.0 -j MASQUERADE COMMIT # Completed on Mon Apr  7 10:39:30 2008 # Generated by iptables-save v1.3.8 on Mon Apr  7 10:39:30 2008 *filter :INPUT ACCEPT [7576342:6543220591] :FORWARD ACCEPT [5736092:2348301396] :OUTPUT ACCEPT [5453498:2316036909] -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -s 192.168.7.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -s 192.168.7.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j DROP -A INPUT -i eth2 -p tcp -m tcp --dport 25 -j DROP -A FORWARD -s 192.168.7.0/255.255.255.0 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j DROP COMMIT # Completed on Mon Apr  7 10:39:30 2008

Незнам дали оказва влияние но имам вързани 2 интернета в load balancing ето и рутинг таблицата

Примерен код

Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 192.168.7.99    0.0.0.0         255.255.255.255 UH    0      0        0 * 192.168.7.140   0.0.0.0         255.255.255.255 UH    0      0        0 * 192.168.18.2    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0 192.168.7.232   0.0.0.0         255.255.255.255 UH    0      0        0 * 213.91.155.200  0.0.0.0         255.255.255.252 U     0      0        0 eth2 192.168.7.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1 10.31.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth2 192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0 10.0.0.0        10.31.10.1      255.0.0.0       UG    0      0        0 eth2 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo 0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

[VladSun]

Съвсем наскоро ти бяха един линк, в който много ясно е описано и нарисувано как точно се обработва всеки пакет от iptables... явно изобщо не си го погледнал.

Прочети малко от него - поне началото - и си пренапиши скрипта и тогава, ако все още имаш проблеми пиши тук - ще ти отговоря... '>

ПП: Използвай поне минимума от препинателните знаци ....

[KPETEH]

И каква е идеята на това ?
Клиентските машини няма да получават мейли и не е лошо ако ще блокираш то да блокираш и 110 порт като толкова искаш да не получават поща.
И пак зависи уиндоуски ли са клиентските компютри,ако са им инсталирай spamfighter безплатна програма която се ъпдейтва.Има и друго решение просто да не ползват outlook ами например thunderbird за уиндоус.
И не на последно място има ли на мейл сървъра инсталирани spamassasin,amavisd или clamav ?
И накрая преинсталация на уиндоусите и инсталация на clamav за  windows и spamfighter и двете са безплатни.
Clamav за уиндоус има опции за сканиране на всички писма преди да бъдат получени от пощенския клиент.
Spamfighter пък ги слага в блок листа на самия клиент.

[KPETEH]

Ето ти малък списък с мрежи които спамят (всякакъв латино американски и азиатски боклучарник в нета) :
/usr/sbin/iptables -A INPUT -i eth0 -s 219.0.0.0/8  -j DROP
/usr/sbin/iptables -A FORWARD -i eth0 -s 219.0.0.0/8  -j DROP
и така за всяка от описаните мрежи долу слагаш правилата в маршрутизатора ти.
220.0.0.0/8    
221.0.0.0/8    
210.0.0.0/8    
211.0.0.0/8    
200.0.0.0/8
200.59.91.10    
195.225.177.27   
200.163.190.151                        
65.57.163.0/25                        
216.251.43.11
207.134.171.0/24  
62.253.164.0/24    
155.247.210.0/24  
164.109.168.0/24  
61.77.78.0/24      
200.42.0.0/24      
193.252.19.0/24                                          
193.110.136.0/24  
67.96.136.0/24  
61.11.48.0/24      
209.63.68.0/24    
216.191.203.0/24  
209.125.37.0/24  
66.70.14.0/24      
64.80.217.0/24    
64.80.218.0/24    
202.108.44.0/24    
209.73.162.0/24  
66.7.131.0/24    
216.32.64.0/24  
168.95.4.0/24      
163.32.96.0/24    
207.253.100.0/24  
203.251.180.0/24  
195.53.182.0/24    
207.79.74.0/24    
200.212.99.0/24    
64.28.74.0        
210.145.137.0/24  
209.185.149.0/24  
216.33.104.0/24    
209.183.236.0/24
202.219.52.0/24    
63.20.240.0/24    
210.123.152.0/24  
200.241.80.0/24  
194.21.74.0/24    
210.59.228.0/24  
150.57.60.0/24    
64.28.75.0/24      
209.121.135.0/24  
212.210.15.0/24  
216.35.159.0/24    
210.59.144.0/24    
192.106.88.0/24  
211.20.142.0/24    
202.96.194.0/24  
216.251.232.0/24  
202.242.18.0/24    
202.166.255.0/24  
206.190.171.0/24  
64.71.132.0/24    
64.1.242.0/24    
216.233.51.0/24    
216.233.69.0/24    
206.130.106.0/24
P.S. Аре и умната че русата е тъпа и силиконена :-)

[bobibiturboto]

@VladSun упътването съм го прочел дори load balancinga  го подкарах и работи за сега Добре де ако виждаш някаква грешка или съвет как да станат нещата помогни, аз ако знаех нямаше да питам във форума. Аз си мисля понеже съм дал masquerade и POSTROUTING на цялата мрежа за това не ми действат правилата, понеже като дам iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -p tcp --dport 25 -j DROP нищо не се получава понеже като дам за тестване на клиентски компютър

Примерен код

telnet mail едикойси.com 25

получавам отговор от там
@KPETEH благодаря за инфото ще го приложа, а идеята ми е че разни вируси през 25 порт пращат спам и от SPAMHAUS всеки ден ми блокират ip-to и правят майл сервера ми неизползваем. На маил сервера имам инсталирам spamassassin,clamav,qtrap прегледах му логовете до него пращат спам и той го спира и нямам някой acount който изпраща спам събота и неделя докато никои няма в службата (на служебните компютри изобщо не се ползват маил клиенти само изпращат писма през web така че 25 спокойно мога да го отрежа а 110 той е за получаване и не ми пречи) изобщо не ме слагат в black list Като стане понеделник още в 8 часа съм добавен от които съм убеден, че това става от клиенстките машини и трябва да измисля начин да ги спра. Иначе инсталирам им анти вирусни и адваре но не мога постоянно да ги следя все пак за 50 pc става въпрос, а факте е че самите потребители умишлено ровят из порно сайтовете и от там идват моите беди. Пък хората за разлика от машините  много трудно се преинсталират '>

[KPETEH]

ахахахахаха за порнИЧ ли идвало реч бре,
а бе има оправия с порното махни им администраторските права на клиентските машини да си ползват потребителски акаунти и после ако ползват ИЕ им пусни parental control и да ходят да се упражняват в ръкоблудство в тоалетната мислено  '>
Ако ли не някакво прокси инсталираш на някоя отделна машина което да филтрира порно сайтовете но да не е прозрачно.
Това е доста елегантно решение така ще минават през проксито което няма да ги допуска до порнича.

Е ясно де значи клиентските машини са проблема фактически са заразени я с троянци я кой знае с каква измет още.
То и вътрешната ти мрежа сигурно не работи както трябва.
Просто преинсталация на всичко клиентско и потребителски акаунти за всички порно маниаци  '>

[VladSun]

Цитат (bobibiturboto @ Април 07 2008,16:01)

@VladSun упътването съм го прочел дори load balancinga  го подкарах и работи за сега Добре де ако виждаш някаква грешка или съвет как да станат нещата помогни, аз ако знаех нямаше да питам във форума. Аз си мисля понеже съм дал masquerade и POSTROUTING на цялата мрежа за това не ми действат правилата, понеже като дам iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -p tcp --dport 25 -j DROP нищо не се получава понеже като дам за тестване на клиентски компютър Примерен код telnet mail едикойси.com 25 получавам отговор от там

E ... през INPUT веригата, кои пакети минават '>
И разни правила от сорта на:

Примерен код

:FORWARD ACCEPT [5736092:2348301396] .... -A FORWARD -s 192.168.7.0/255.255.255.0 -j ACCEPT

са малко безсмислени '>

[bobibiturboto]

Цитат

E ... през INPUT веригата, кои пакети минават '> азни правила от сорта на:

Ти как предлагаш да се направи ( с какви правила) ? До сега така ми вършеше работа но ясно че не е много удачен. Значи имам две мрежи едната е 192.168.7.0/24 и една 192.168.18.0/24 която ми е за виртуалните IP на VPN servera чрез който влизам от вкъщи.

[VladSun]

Цитат (VladSun @ Април 07 2008,17:04)

E ... през INPUT веригата, кои пакети минават '>

Дай ми просто copy-paste отговора от страницата на гореспоменатия линк... предполагам, че сам ще си отговориш тогава '> а, и това ми е идеята, де '>

[ivanatora]

Цитат (VladSun @ Април 07 2008,17:04)

И разни правила от сорта на: Примерен код :FORWARD ACCEPT [5736092:2348301396] .... -A FORWARD -s 192.168.7.0/255.255.255.0 -j ACCEPT са малко безсмислени '>

Може да иска да си брои трафика от тази мрежа '>

[bobibiturboto]

Целта ми е да рутирам само мрежите, които искам понеже освен eth0 които ми е входа от адсл и eth1 който е мрежата към клиенските компютри 192.168.7.0/24 имам и eth2 към които е свързана локалната мрежа на другия доставчик 10.0.0.0/8 през която ми пускат vlan с реалното им ip и там се крие трудноста която изпитвам

Примерен код

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE    iptables --append FORWARD --in-interface eth1 -j ACCEPT

незнам дали ще ми работи лоадбалансинга( дали ще се получи номера ако дам второ правило с изход eth2 където е втория ми доставчик) а и имам мрежа и на виртулани ip понеже имам и pptpd сървар.
@VladSun  ти този Линк ли имаше в предвид ?

[KPETEH]

Човече това все едно да питаш :
Ако и го начукаш на твоята мацка и и се изпразниш вътре
дали ще забременее .... баси
Пък пробвай и после питай защо не е :-)
Но не е лошо да прочетеш защо няма да забременее нали все пак общата култура си е нещо което си е важно.

П.С. То нещо като с порното май се получава ма мейл сървъра - дрън дрън блябля па после ама искам да ми е екстра ма що ти се сбъгяса мейла е па аз ли да съм безотговорен администратор ?

[VladSun]

Цитат (bobibiturboto @ Април 07 2008,20:39)

Целта ми е да рутирам само мрежите, които искам понеже освен eth0 които ми е входа от адсл и eth1 който е мрежата към клиенските компютри 192.168.7.0/24 имам и eth2 към които е свързана локалната мрежа на другия доставчик 10.0.0.0/8 през която ми пускат vlan с реалното им ip и там се крие трудноста която изпитвам Примерен код iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE    iptables --append FORWARD --in-interface eth1 -j ACCEPT незнам дали ще ми работи лоадбалансинга( дали ще се получи номера ако дам второ правило с изход eth2 където е втория ми доставчик) а и имам мрежа и на виртулани ip понеже имам и pptpd сървар. @VladSun  ти този Линк ли имаше в предвид ?

1) Посочих, че са безсмислени, защото политиката по подразбиране на FORWARD си я сложил ACCEPT, а след това експлицитно даваш ACCEPT на някакви други пакети и никъде не използваш DROp във FORWARD...
2) Да, този линк имах предвид и по-специално:
http://iptables-tutorial.frozentux.net/iptable....FTABLES