2 votes

Andomar avatar

Rejeter tous les paquets de courrier sur tous les ports (sortant) sur Ubuntu

Demandé el 27 de Mai, 2012
Quand la question a-t-elle été
1332 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je viens d'avoir un problème avec notre FAI ; notre connexion internet a été bloquée parce qu'il y avait trop de courrier envoyé depuis notre IP. Le problème est que nous utilisons tous gmail et qu'aucun courrier n'est envoyé par le serveur SMTP du FAI à notre connaissance (le FAI bloque tout le trafic vers le port 25 s'il n'est pas sur son serveur).

J'ai bloqué le port 25 au préalable, de sorte qu'aucun courrier sortant à destination de ce serveur de messagerie ne peut quitter notre réseau. Mais cela ne rejette pas le courrier envoyé vers les ports d'autres serveurs.

Ce que je voudrais faire, c'est découvrir ce qui envoie ces courriers sur notre réseau. Existe-t-il un programme capable d'identifier les paquets de courrier et de les rejeter en utilisant Ubuntu ? Notre routeur Ubuntu n'a pas de serveur smtp, soit dit en passant.

Demandé el 27 de Mai, 2012 par Andomar

Réponses

Trop de publicités?

2voto

Nikhil Nanjappa avatar
Nikhil Nanjappa Points 229

Vous pourriez vouloir bloquer tous vos paquets smtp, ce qui peut s'avérer très compliqué. l7-filtre . Il peut bloquer un grand nombre de différents protocoles Il vous suffit de l'installer sur votre passerelle/pare-feu.

Répondu el 27 de Mai, 2012 par Nikhil Nanjappa (229 Points )

2voto

Tom avatar
Tom Points 10766

tcpdump est un outil utile pour déverser des paquets du réseau dans un fichier ou à l'écran. Il est généralement disponible dans les dépôts de distro-packing et est très bien documenté et testé pour des situations comme celle-ci.

Vous pouvez installer tcpdump sur le routeur ubuntu ( apt-get install tcpdump ) et configurez-le pour qu'il surveille le trafic smtp ;

 # tcpdump -s0 -w/tmp/smtp_dump port 25
 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

vous pouvez consulter le fichier pour savoir quels hôtes envoient du trafic smtp à partir d'une autre session SSH ;

# tcpdump -qr /tmp/smtp_dump 
reading from file /tmp/smtp_dump, link-type EN10MB (Ethernet)
13:27:54.291884 IP g0801.hpl.com.33942 > pz-in-f27.1e100.net.smtp: tcp 0
13:27:54.315294 IP pz-in-f27.1e100.net.smtp > g0801.hpl.com.33942: tcp 0
13:27:54.315323 IP g0801.hpl.com.33942 > pz-in-f27.1e100.net.smtp: tcp 0
13:27:54.339110 IP pz-in-f27.1e100.net.smtp > g0801.hpl.com.33942: tcp 45
...

vous pouvez obtenir des résultats plus sophistiqués si vous installez wireshark sur votre machine locale et téléchargez les fichiers dump, ou utilisez tshark à la ligne de commande ssh.

avertissement : tcpdump va rapidement remplir votre disque si vous avez beaucoup de trafic smtp, alors examinez le fichier de sortie ls -lh /tmp/smtp_dump et arrêtez la commande avec ctrl-c lorsque vous avez quelques Mo de données à examiner.

_Options d'interface pour tcpdump ( -i eth0 ) : si votre routeur utilise une interface différente de eth0, il se peut que vous deviez la sélectionner à l'aide de la commande -i option, par exemple tcpdump -i bond0 -s0 -w/tmp/smtp_dump port 25_

Répondu el 27 de Mai, 2012 par Tom (10766 Points )

1voto

Brad avatar
Brad Points 3206

Le courrier peut également être envoyé sur les ports 465 et 587. (Le port 465 a été révoqué mais peut encore être utilisé). Combiné à l'utilisation abusive d'un serveur proxy, le courrier peut même être envoyé sur les ports 80 ou 443 ou 3128 (pour squid) ou bien d'autres encore.

Votre réseau dispose-t-il d'un point de sortie unique vers l'internet ? Disposez-vous d'un pare-feu à cet endroit ?

Si ce n'est pas le cas, vous le voudrez. Si vous avez plusieurs points de sortie, vous devez installer des pare-feu sur chacun d'entre eux. (éventuellement sur la même boîte physique).

Configurez vos pare-feux de manière à ce qu'ils excluent tout par défaut et n'autorisent que le trafic que vous souhaitez.

Si vous ne savez pas quel est votre trafic normal, vous pouvez ajouter une ligne de journalisation à la fin de vos règles de pare-feu, de sorte que tout ce qui n'est pas déjà pris en compte soit enregistré.

Même si vous parvenez à bloquer le trafic à l'aide du pare-feu, vous voudrez toujours retrouver et arrêter l'expéditeur du courrier. Si vous ne savez pas quel processus l'envoie, il peut facilement s'agir d'un système compromis, d'un proxy ouvert ou d'un formulaire web utilisé abusivement par un spammeur. Je ne voudrais pas d'un tel système dans mon réseau.

Répondu el 27 de Mai, 2012 par Brad (3206 Points )

0voto

mgorven avatar
mgorven Points 29736

La meilleure solution consiste probablement à configurer vos clients de messagerie pour qu'ils utilisent le port de soumission (587) ou le port SSMTP (465) lors de l'envoi de courrier sortant, puis à bloquer tout le trafic sortant vers le port 25. La plupart des fournisseurs de messagerie devraient autoriser l'accès à ces ports pour l'envoi de courrier sortant.

Répondu el 27 de Mai, 2012 par mgorven (29736 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X