forum.lissyara.su

Добавлено: **2006-12-08 0:32:14**

а в логах какая активность?
===========
А у меня почему-то не работает без записей в этой таблице

))

Добавлено: **2006-12-08 14:14:46**

Source/24 Destination/24 Protocol Size CPS
────────────────────────────────────────
194.44.136.0 unknown-209-191-118-,smtp tcp 2012K 73
212.109.32.0,domain 194.44.136.0 udp 709K 12K
194.44.136.0,domain 212.109.32.0 udp 154K 3055
194.44.136.0 unknown-206-190-53-0,smtp tcp 149K 11K
194.44.136.0 168.95.5.0,smtp tcp 131K 2856
194.44.214.0,domain 194.44.136.0 udp 127K 2152
unknown-209-191-118-,smtp 194.44.136.0 tcp 106K 108
194.44.136.0 194.228.32.0,smtp tcp 71K 8785
194.44.136.0,domain 194.44.214.0 udp 56K 1063
194.44.136.0 213.180.130.0,smtp tcp 54K 262
194.44.136.0 64.18.7.0,smtp tcp 52K 31
194.44.136.0 208.65.145.0,smtp tcp 36K 2081
194.44.136.0 66.43.23.0,smtp tcp 36K 6081
194.44.136.0 207.159.120.0,smtp tcp 22K 683
194.44.136.0 203.167.213.0,smtp tcp 20K 1315
194.44.136.0 196.34.232.0,smtp tcp 20K 419
168.95.5.0,smtp 194.44.136.0 tcp 20K 204
194.44.136.0 195.212.29.0,smtp tcp 20K 13K
194.44.136.0 211.49.224.0,smtp tcp 19K 6
194.44.136.0 195.232.246.0,smtp tcp 18K 8
─────────────────────────────────────

Ну это вывод утилиты trafshow -i em0 port 25

Или скажи какой лог тебе выложить.

В var/log/exim почему-то никаких логов нет -пустая папка. Может че не так?

Добавлено: **2006-12-08 16:00:18**

лог приложения слушающего порт 25

Добавлено: **2006-12-08 17:44:41**

Скажи тогда пожалуйста какой енто прогой можна послушать порт 25 на котором exim родимый висит?
Вот и пользуюсь утилиткой trafshow

Добавлено: **2006-12-09 11:59:15**

помоему, из диалога напрашивался вывод - надо посмотреть логи exim`a....
Но - у тя другой метод - трафшоу...

Добавлено: **2006-12-11 10:51:44**

Уважаемый lissayra!
Очень нужна ваша помощь.
Прочитав статью про ipfw, для нужд своей сети использовал первый вариант настройки фаервола. Возникла проблема, некоторые компы были заражены всякой вирусней, действие которой заключается в том, чтоб присоединяясь с динамического порта к 25 порту юниха (я так думаю что проходом не через Exim ) идет smtp рассылка на интересные серверы в инете. Вопрос в том какое для этого варианта IPFW правил из статьи можно дописать правило для блокировки подобного проброса пакетов?
Напр, сейчас правила вида

Код: Выделить всё

 
${fwcmd} add deny all from any to 192.168.91.145 via ${ext_if}
${fwcmd} add deny all from 192.168.91.145  to any via ${ext_if}

вообще режут доступ с компа с ip 192.168.91.145 к юниксу - даже dhcp запросы не проходят. Правила стоят до правил divert. Это не совсем хорошо так как нужен хотя -бы доступ к сервисам юниха, тобиш dns, dhcp, smtp,squid ... но не дальше.

Добавлено: **2006-12-11 10:56:33**

Для полноты озвучки ситуации привожу свой адаптированый под себя набор правил

Код: Выделить всё


#!/bin/sh 
    fwcmd="ipfw"
	ext_if="re0"
	ext_net="10.10.11.0:255.255.0.0"
	ext_ip="10.10.11.11"

	int_if="em0"
	int_net="192.168.91.0:255.255.255.0"
	int_ip="192.168.91.60"

	
	
	
    ${fwcmd} -f flush
    ${fwcmd} add check-state
    ${fwcmd} add 100 pass all from any to any via lo0
    ${fwcmd} add 200 deny all from any to 127.0.0.0/8
    ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
    ${fwcmd} add deny all from any to 0.0.0.0/8 in via ${ext_if}
    ${fwcmd} add deny all from any to 169.254.0.0/16 in via ${ext_if}
    ${fwcmd} add deny all from any to 192.0.2.0/24 in via ${ext_if}
    ${fwcmd} add deny all from any to 224.0.0.0/4 in via ${ext_if}
    ${fwcmd} add deny all from any to 240.0.0.0/4 in via ${ext_if}
    ${fwcmd} add deny all from 192.168.91.142 to any via ${ext_if}
    ${fwcmd} add deny all from any to 192.168.91.142  via ${ext_if}
    
    ${fwcmd} add deny icmp from any to any frag
    ${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${ext_if}
    ${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${ext_if}

     
     ${fwcmd} add pipe 3 ip from any  to 192.168.91.104 out 
     ${fwcmd} add pipe 4 ip from 192.168.91.104 to any  in

     ${fwcmd} pipe 3 config bw 320kbit/s queue 50 
     ${fwcmd} pipe 4 config bw 320kbit/s queue 50 

     
     ${fwcmd} add pipe 1 ip from any  to 192.168.91.208 out 
     ${fwcmd} add pipe 2 ip from 192.168.91.208 to any  in

     ${fwcmd} pipe 1 config bw 1Mbit/s queue 50 
     ${fwcmd} pipe 2 config bw 1Mbit/s queue 50 
     


    ${fwcmd} add divert natd all from ${int_net}  to any out via ${ext_if}
    ${fwcmd} add divert natd all from any to ${ext_ip} in via ${ext_if}
    
    ${fwcmd} add deny all from 10.0.0.0/8 to any out via ${ext_if}
    ${fwcmd} add deny all from 172.16.0.0/16 to any out via ${ext_if}
    ${fwcmd} add deny all from 192.168.0.0/24 to any out via ${ext_if}
    ${fwcmd} add deny all from 0.0.0.0/8 to any out via ${ext_if}
    
    
    ${fwcmd} add deny all from 169.154.0.0/16 to any out via ${ext_if}    
    ${fwcmd} add deny all from 224.168.0.0/4 to any out via ${ext_if}
    ${fwcmd} add deny all from 240.0.0.0/4 to any out via ${ext_if}

    ${fwcmd} add pass tcp from any to any established

    ${fwcmd} add allow all from ${ext_ip} to any out xmit ${ext_if}

    ${fwcmd} add allow udp from any  to ${ext_ip} 53 in via ${ext_if}
    ${fwcmd} add allow udp from ${ext_ip} 53 to any  out via ${ext_if}
    ${fwcmd} add allow udp from any 53 to ${ext_ip} in  via ${ext_if}
    ${fwcmd} add allow udp from ${ext_ip}  to any 53  out via ${ext_if}
    
    ${fwcmd} add pass udp from ${int_ip}  to any 123 keep-state
    ${fwcmd} add pass udp from any to ${int_ip} 123 keep-state

    ${fwcmd} add allow udp from any 123 to any via ${ext_if}
    ${fwcmd} add allow udp from any to any 123 via ${ext_if}
    ${fwcmd} add allow udp from any 123 to any via ${int_if}
    ${fwcmd} add allow udp from any to any 123 via ${int_if}
    
    
    ${fwcmd} add allow tcp from any to ${ext_ip} 20,21 via ${ext_if} setup
    ${fwcmd} add allow tcp from any to ${ext_ip} 49152-65535 via ${ext_if} 
    ${fwcmd} add allow tcp from any to ${ext_ip} 80 via ${ext_if} setup
    ${fwcmd} add allow tcp from any to ${ext_ip} 22 via ${ext_if} setup
    ${fwcmd} add allow tcp from any to ${ext_ip} 25 via ${ext_if} setup
    ${fwcmd} add allow tcp from any to ${ext_ip} 143 via ${ext_if} setup
    ${fwcmd} add allow tcp from any to ${ext_ip} 110 via ${ext_if} setup  
    

    ${fwcmd} add allow icmp from any to me icmptypes 0,3,4,11,12 in
    ${fwcmd} add allow icmp from any to ${int_net} icmptypes 0,3,4,11,12 in recv ${ext_if}
    ${fwcmd} add allow icmp from me to any icmptypes 3,8,12 out


    ${fwcmd} add deny log logamount 1500 tcp from any to $ext_ip in recv $ext_if setup

    ${fwcmd} add allow  all from any to any via  ${int_if}
        
    ${fwcmd} add deny all from any to any

Добавлено: **2006-12-11 11:20:34**

кстати я ошибался, судя пологам рассылка изнутри валит через exim.
если я ошибаюсь поправте меня.

Код: Выделить всё


Dec 11 10:02:08 miracle2 exim[15502]: 1Gtg6w-000422-Mk <= avanta@i.ua H=flpvm09.prodigy.net [207.115.20.39] I=[195.98.13.64]:25 P=esmtp S=88595 id=002e01c71d5e$b114a0ce$cf5cfb18@qctpzlbicyzt from <avanta@i.ua> for up@radiolux.com
Dec 11 10:02:18 miracle2 exim[15504]: 1Gtg6w-000422-Mk ** lv_ortpc@svitonline.com <up@radiolux.com> R=dnslookup T=remote_smtp: SMTP error from remote mail server after initial connection: host relay2.kiev.sovam.com [212.109.32.9]: 550-Rejected. 195.98.13.64 is in a black list at xbl.spamhaus.org\n550 http://www.spamhaus.org/query/bl?ip=195.98.13.64
Dec 11 10:02:18 miracle2 exim[15507]: 1Gtg78-000427-PM <= <> R=1Gtg6w-000422-Mk U=mailnull P=local S=76004 from <> for avanta@i.ua
Dec 11 10:02:18 miracle2 exim[15504]: 1Gtg6w-000422-Mk Completed
Dec 11 10:02:18 miracle2 exim[15508]: 1Gtg78-000427-PM ** avanta@i.ua R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<avanta@i.ua>: host mx1.i.ua [193.84.19.3]: 550 User over quota
Dec 11 10:02:18 miracle2 exim[15508]: 1Gtg78-000427-PM Frozen (delivery error message)
Dec 11 10:04:14 miracle2 exim[15520]: H=system2.lardi-trans.com [62.149.12.105] I=[195.98.13.64]:25 F=<wwwrun@system2.lardi-trans.com> rejected RCPT <orest@radiolux.com>: Unrouteable address
Dec 11 10:04:14 miracle2 exim[15520]: H=system2.lardi-trans.com [62.149.12.105] I=[195.98.13.64]:25 F=<wwwrun@system2.lardi-trans.com> rejected RCPT <orest@radiolux.com>: Unrouteable address
Dec 11 10:05:07 miracle2 exim[15524]: no IP address found for host 58.69.34.81.pldt.net (during SMTP connection from (friend) [58.69.34.81] I=[195.98.13.64]:25)
Dec 11 10:05:10 miracle2 exim[15524]: H=(friend) [58.69.34.81] I=[195.98.13.64]:25 F=<richard@guitarra.biz> rejected RCPT <vasyl@radiolux.com>: Unrouteable address
Dec 11 10:05:10 miracle2 exim[15524]: H=(friend) [58.69.34.81] I=[195.98.13.64]:25 F=<richard@guitarra.biz> rejected RCPT <vasyl@radiolux.com>: Unrouteable address
Dec 11 10:05:12 miracle2 exim[15524]: unexpected disconnection while reading SMTP command from (friend) [58.69.34.81] I=[195.98.13.64]:25
Dec 11 10:05:36 miracle2 exim[15555]: exim 4.63 daemon started: pid=15555, -q30m, listening for SMTP on port 25 (IPv4)
Dec 11 10:05:37 miracle2 exim[15557]: 1Gtg78-000427-PM Message is frozen
Dec 11 10:05:37 miracle2 exim[15558]: 1GtfHk-0003x4-BV Unfrozen by errmsg timer
Dec 11 10:05:40 miracle2 exim[15558]: 1GtfHk-0003x4-BV ** language@apevents.co.uk <Language@apevents.co.uk> R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<Language@apevents.co.uk>: host apevents.co.uk [69.65.96.162]: 550-"The recipient cannot be verified.  Please check all recipients of this\n550 message to verify they are valid."
Dec 11 10:05:40 miracle2 exim[15558]: 1GtfHk-0003x4-BV Language@apevents.co.uk: error ignored
Dec 11 10:05:40 miracle2 exim[15558]: 1GtfHk-0003x4-BV Completed
Dec 11 10:05:45 miracle2 imapd: LOGOUT, user=xxx, ip=[192.168.91.24], headers=0, body=0, rcvd=451, sent=1112, time=222
Dec 11 10:06:55 miracle2 exim[15563]: 1GsdlM-0004r2-CL mxs.gala.net [195.245.80.82] Operation timed out
Dec 11 10:06:55 miracle2 exim[15561]: 1GsdlM-0004r2-CL == tem_ius@gala.net R=dnslookup T=remote_smtp defer (60): Operation timed out
Dec 11 10:06:55 miracle2 exim[15561]: 1GsdlM-0004r2-CL failed to open DB file /var/spool/exim/db/retry: Permission denied (euid=26 egid=6)
Dec 11 10:06:55 miracle2 exim[15572]: 1GtOqs-0002sw-F8 SMTP error from remote mail server after initial connection: host fpo.mail.dk [80.160.76.237]: 421 Service not available
Dec 11 10:06:55 miracle2 exim[15570]: 1GtOqs-0002sw-F8 == sjuibzfi@webspeed.dk R=dnslookup T=remote_smtp defer (0): SMTP error from remote mail server after initial connection: host fpo.mail.dk [80.160.76.237]: 421 Service not available
Dec 11 10:06:55 miracle2 exim[15570]: 1GtOqs-0002sw-F8 failed to open DB file /var/spool/exim/db/retry: Permission denied (euid=26 egid=6)
Dec 11 10:06:55 miracle2 exim[15575]: 1GsdZp-0004nL-Mq SMTP error from remote mail server after RCPT TO:<Stella@compuserv.com.ua>: host compuserv.com.ua [212.9.241.129]: 450 4.7.1 Client host rejected: cannot find your hostname, [195.98.13.64]
Dec 11 10:06:55 miracle2 exim[15573]: 1GsdZp-0004nL-Mq == stella@compuserv.com.ua <Stella@compuserv.com.ua> R=dnslookup T=remote_smtp defer (-44): SMTP error from remote mail server after RCPT TO:<Stella@compuserv.com.ua>: host uca.ukrhub.net [212.90.174.66]: 450 Client host rejected: cannot find your hostname, [195.98.13.64]
Dec 11 10:06:55 miracle2 exim[15573]: 1GsdZp-0004nL-Mq failed to open DB file /var/spool/exim/db/retry: Permission denied (euid=26 egid=6)
Dec 11 10:06:55 miracle2 exim[15576]: 1GtfbA-0003yl-VU Message is frozen
Dec 11 10:14:57 miracle2 exim[15626]: no host name found for IP address 85.91.150.27
Dec 11 10:14:57 miracle2 exim[15626]: H=(frontiernet.net) [85.91.150.27] I=[195.98.13.64]:25 F=<jp5z8tf@kollegie6400.dk> rejected RCPT <reklbma@radiolux.com>: "host in blacklist - cbl.abuseat.org 
Dec 11 10:14:57 miracle2 exim[15626]: H=(frontiernet.net) [85.91.150.27] I=[195.98.13.64]:25 F=<jp5z8tf@kollegie6400.dk> rejected RCPT <reklbma@radiolux.com>: "host in blacklist - cbl.abuseat.org 
Dec 11 10:14:57 miracle2 exim[15626]: unexpected disconnection while reading SMTP command from (frontiernet.net) [85.91.150.27] I=[195.98.13.64]:25
Dec 11 10:15:05 miracle2 exim[15631]: H=12-219-18-41.client.mchsi.com [12.219.18.41] I=[195.98.13.64]:25 F=<dr99edsw6@online.no> rejected RCPT <reklbma@radiolux.com>: "host in blacklist - dynablock.njabl.org 
Dec 11 10:15:05 miracle2 exim[15631]: H=12-219-18-41.client.mchsi.com [12.219.18.41] I=[195.98.13.64]:25 F=<dr99edsw6@online.no> rejected RCPT <reklbma@radiolux.com>: "host in blacklist - dynablock.njabl.org 
Dec 11 10:15:05 miracle2 exim[15631]: unexpected disconnection while reading SMTP command from 12-219-18-41.client.mchsi.com [12.219.18.41] I=[195.98.13.64]:25
Dec 11 10:15:19 miracle2 exim[15636]: H=pool-71-249-117-228.nycmny.east.verizon.net [71.249.117.228] I=[195.98.13.64]:25 F=<s0dy@ruudtheelen.nl> rejected RCPT <reklbma@radiolux.com>: "Не нравится мне Ваш хост..."
Dec 11 10:15:19 miracle2 exim[15636]: H=pool-71-249-117-228.nycmny.east.verizon.net [71.249.117.228] I=[195.98.13.64]:25 F=<s0dy@ruudtheelen.nl> rejected RCPT <reklbma@radiolux.com>: "Не нравится мне Ваш хост..."
Dec 11 10:15:20 miracle2 exim[15636]: H=pool-71-249-117-228.nycmny.east.verizon.net [71.249.117.228] I=[195.98.13.64]:25 F=<ivdza8i@agilent.com> rejected RCPT <reklama@radiolux.com>: "Не нравится мне Ваш хост..."
Dec 11 10:15:20 miracle2 exim[15636]: H=pool-71-249-117-228.nycmny.east.verizon.net [71.249.117.228] I=[195.98.13.64]:25 F=<ivdza8i@agilent.com> rejected RCPT <reklama@radiolux.com>: "Не нравится мне Ваш хост..."

Добавлено: **2006-12-11 11:39:52**

ну так каков вопрос?

))

Добавлено: **2006-12-11 12:51:51**

1. какое правило добавить в IPFЦ для блокировки гадов во внутренней сети?
2. Через exim ли (судя по логах) гады отправляют спам?
3. Если кто знает как можно закрыть такую дыру в системе ?

Добавлено: **2006-12-12 11:34:39**

Мой сервак попадает в black list на сайте spamcop.net
На сайте пишут
DNS error: 195.98.13.64 has no reverse dns

Что это означает?

Добавлено: **2006-12-12 12:15:52**

нет обратной записи DNS.
он же пишет...

Добавлено: **2006-12-12 12:18:12**

ты типа с адсл без домена письма шлёшь?))

Добавлено: **2006-12-12 12:25:39**

Неа с домена шлю

Добавлено: **2006-12-12 12:28:01**

Non-authoritative answer:
64.13.98.195.in-addr.arpa name = adsl-098-013-064.dsl.nextra.sk.
это не есть хорошо. если это твой ип, то скажи прову чтоб обратную зону переписали.

Добавлено: **2006-12-12 12:43:15**

понял, щас позвоню

Добавлено: **2006-12-12 12:46:01**

Sapsan

А чем ты смотрел ?

Non-authoritative answer:
64.13.98.195.in-addr.arpa name = adsl-098-013-064.dsl.nextra.sk.

или как максимально точно можно посмотреть вот такие проблемы?

Добавлено: **2006-12-12 12:52:12**

nslookup ДОМЕН или ИП. в идеале должно совпадать.

Добавлено: **2006-12-12 12:53:48**

Код: Выделить всё

/var/db/squidGuard/db/>host ya.ru
ya.ru has address 213.180.204.8
ya.ru mail is handled by 10 mx2.yandex.ru.
ya.ru mail is handled by 0 mx1.yandex.ru.
/var/db/squidGuard/db/>host 213.180.204.8
8.204.180.213.in-addr.arpa domain name pointer ya.ru.
/var/db/squidGuard/db/>

много чем можно...

Добавлено: **2006-12-12 14:19:48**

Ну вот снова вопрос.
Почитал сегодняшнюю статейку про dspam. Можно ли без него обойтись, подстроив нормально exim, чтоб получить приблизительно один результат по отрезанию спама?

Добавлено: **2006-12-12 14:28:40**

конечно можно. именно для этого и тратят время, пишут отдельные приложения

))

Добавлено: **2006-12-12 14:32:15**

1 какие приложения?
2 кто пишет?

Добавлено: **2006-12-12 14:34:04**

1. dspam
2. программисты.
===============
хватит прикалываться.

Добавлено: **2006-12-12 14:39:54**

lissyara

там в ps статьи http://www.lissyara.su/?id=1301
есть цитата

Лиссяра, у тебя в мануале косяг, в конфе экзима. У тебя роутер dnslookup идет раньше system_aliases, а значит форвард писем вовне пойдет с большой задержкой (он перепишет адрес, а потом положит в очередь, т.к. отправить сразу не сможет).

Прада или нет?

Добавлено: **2006-12-12 14:59:59**

тряси автра - не меня.
А то что выше - какая разница, если форвард перезапускает обработку?

forum.lissyara.su

exim + courier imap