Nat в pf кроме 25-го порта, срочно нужно!

[ya]

В общем стоит два сервера один почтовый, на втором крутиться сайт и раздаётся инет настроенный натом. Ситуация такая, где то в сети (у нас 65 компов) запускается спамерская прога на одном из компов и пускает в инет спам. В итоге наш ip попадает в блэк листы. Весь исходящий и весь входящий трафик свободно уходит через сервак. Мне нужен запрет на исходящую почту 25-го порта для всех машин в сети, кроме машины с корпоративной почтой. Все остальные порты чтобы были доступны, пока нет времени настраивать squid, нужно хотя бы запустить нормально почту. Думаю для знающих людей моя тема это всего лишь две строчки команды, но всё же я посидел на сайтах и на форумах, но пока не понял как это сделать...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zeus4all]

а на почтаре запретить не авторизованным узерам пересылать корреспонденция не вариант ? имхо, просто тут подумал, есть у меня сомнения что подобное правило остановит утечкуеслия правильно понял ситуацию.

[skeletor]

zeus4all+1.
Да и вообще запретить подключение ко всем хостам на 25 порт, кроме к корпоративному почтарю.

[vadim64]

Он это понял, как я понял по его словам. Он спрашивает как это сделать в pf

[skeletor]

Настройка авторизации производится в самом MTA.

собственно правила в pf

Код: Выделить всё

pass quick on $int_if proto tcp from $local_net to $ip_mail port 25
block quick on $int_if proto tcp from $local_net to any port 25

[Гость]

Он это понял, как я понял по его словам. Он спрашивает как это сделать в pf

есть тут всё таки понимающие люди!))) так как это сделать?)))

[Гость]

Настройка авторизации производится в самом MTA.

собственно правила в pf

Код: Выделить всё

pass quick on $int_if proto tcp from $local_net to $ip_mail port 25
block quick on $int_if proto tcp from $local_net to any port 25

В связи со сложившимися обстоятельствами мне пришлось перекинуть почтовый сервер в локальную сеть с основного сервера, как я уже писал выше, на сколько я понимаю, ваше правило запретит всем отправлять сообщения с 25-го порта, а как сделать, чтобы только с ip адреса 192.168.10.2 можно было отправлять почту на 25-й порт?

[vadim64]

топологию нарисуйте

[Гость]

топологию нарисуйте

ещё не приходилось... напишите, как для вас нужно расписать и что именно?

[zeus4all]

Он это понял, как я понял по его словам. Он спрашивает как это сделать в pf

да никак
имхо он думает что его сервер выступает как шлюз, поетому запретив 25 порт из локалки у негоякобы пропадет проблема, ага она то пропадет, но и локальная сеть не сможет пользоваться smtp сервером который как я понял стоит на етой машине. мне кажется ему нужно другое, например поменять порт и/или как мне кажется у него просто разрешена пересылка почты для анонимусов. правда если почту пользователи только получают то тогда ето актуально токгда ето к посту skeletor'а, онтам верно настучал строчки.

Код: Выделить всё

pass quick on $int_if proto tcp from 192.168.10.2 to $ip_mail port 25

[vadim64]

В вашем любимом графическом редакторе изобразите вашу локальную сеть типа так

[zeus4all]

самое интересное то что топикстартер знает причину и что самое главное наверно и хост, зараженный, не проще ли запретить в фаере етот хост , и второе, почему бы не пройтись до зараженного и не применить "святой" откат системы если искать "прохиндея" лень?

[Гость]

самое интересное то что топикстартер знает причину и что самое главное наверно и хост, зараженный, не проще ли запретить в фаере етот хост , и второе, почему бы не пройтись до зараженного и не применить "святой" откат системы если искать "прохиндея" лень?

запретить хост? вы имеете в веду, чтобы письма вообще не отправлялись? Я переустановил половину компов и проверял всё на вирусы, в итоге мне это не помогло! Решение вижу одно, закрытие 25-го порта, чувствую MTA-тоянчик хорошо разгулялся в сети

[Гость]

У меня статичный адрес ip, поэтому я не хочу его светить на форуме)))

[vadim64]

Всмысле топология именно такая как я нарисовал??
Или вы просто свои адреса подставили под знакомые надписи?

[zeus4all]

судя по всему через Вас релеют по черному, я бы озагуглился запросами по поводу натсроек почтаря, единственное что мне приходит в голову(раз топологии нету) делаете так(ну исходя не из мово мнения а из нравящихся потребностей):

{Сеть, Почтарь сам член сети, все настроены на него} => {Шлюз сфаером и натом} => (любым маршрутом ведущим в inet)
или же проще делается когда и почтарь и шлюз 1 целое. Фаервол настраиваешь так чтобы он из локалки по 110 25 и прочим почтовым портам никуда не пускал на ружу (как правило наружу - ето вторая сетевая карта ведущая к инету, но может бытьи иначе).
Далее тестируйте сервер почтовый, смотрите в логи, если все равботает нормально и проблемы не видно значит вполне возможно что релеют почту через Ваш сервер снаружи, а не через троян-инсайдера в lan'е, особенно если ip статичный, то скорей всего машина "смотрит" наружу. Что в итоге логически приводит меня к мысли, что тут или не давать доступ никому по требуемому порту (по крайней мере из вне) или решать ету проблему не фаерволами. ессно ето все в моем скромном...имхо
Также наверное Вам в раздел форума http://forum.lissyara.su/viewforum.php?f=20, ее наверно завели люди которые посидели за настройками почтовиков, им виднее будет, а мне с моими пионерскими навыками туда еще рано

[Гость]

Всмысле топология именно такая как я нарисовал??
Или вы просто свои адреса подставили под знакомые надписи?

баш орг уже трескается по швам

[Гость]

Всмысле топология именно такая как я нарисовал??
Или вы просто свои адреса подставили под знакомые надписи?

ты ещё слова знакомые напиши, я тебе адреса присвою))) давайте проблему решать, а не трищать блин)))