URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3271
[ Назад ]

Исходное сообщение
"Наш IP периодически блочат различные сайты"
Отправлено Heggi , 28-Апр-07 12:00

Собстно сабж происходит в сетке на 150 юзверей.
На одном из сайтов я выяснил, что с нашего IP кто-то рассылает трояны по почте.
Что посоветуете поставить на сервак, чтобы найти этого гада или блокировать подобную фигню?
Шлюзом Linux с 3-мя интерфейсами: внутренний, ADSL и спутнег. Для всех юзеров поднят NAT с фильтрацией по IP+MAC + прозрачный прокси Squid на http траффик по 80 порту.

Содержание

Наш IP периодически блочат различные сайты,Junior, 12:29 , 28-Апр-07
- Наш IP периодически блочат различные сайты,Heggi, 01:09 , 29-Апр-07
  - Наш IP периодически блочат различные сайты,Junior, 08:53 , 29-Апр-07
    - Наш IP периодически блочат различные сайты,Heggi, 13:43 , 29-Апр-07
      - Наш IP периодически блочат различные сайты,Junior, 19:20 , 29-Апр-07

Сообщения в этом обсуждении

"Наш IP периодически блочат различные сайты"
Отправлено Junior , 28-Апр-07 12:29

>Собстно сабж происходит в сетке на 150 юзверей.
>На одном из сайтов я выяснил, что с нашего IP кто-то рассылает
>трояны по почте.
>Что посоветуете поставить на сервак, чтобы найти этого гада или блокировать подобную
>фигню?
>Шлюзом Linux с 3-мя интерфейсами: внутренний, ADSL и спутнег. Для всех юзеров
>поднят NAT с фильтрацией по IP+MAC + прозрачный прокси Squid на
>http траффик по 80 порту.

Поставь прозрачную проверку вирусов на внешнюю почту, например p3scan + clamav.

"Наш IP периодически блочат различные сайты"
Отправлено Heggi , 29-Апр-07 01:09

>Поставь прозрачную проверку вирусов на внешнюю почту, например p3scan + clamav.
Поставил, настроил... Почта не отправляется... Как дело доходит до отправки заголовка, соединение рвется, а в консоли (из которой запускаю p3scan) появляется:
ERR: Scanner returned unexpected error code. You should check your configuration/system.
sh: -c: line 0: unexpected EOF while looking for matching `''
sh: -c: line 1: syntax error: unexpected end of file
ERR: Calling do_log!ERR: We cot SIGTERM!
Конфиги:
p3scan.conf
scannertype = clamd
scanner = 127.0.0.1:3310
checksize = 500
все остальное по умолчанию.
clamd.conf не менялся, кроме настроек сокета:
TCPSocket 3310
TCPAddr 127.0.0.1
Правила iptables:
iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0 --dport 110 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0 --dport 25 -j REDIRECT --to 8110

"Наш IP периодически блочат различные сайты"
Отправлено Junior , 29-Апр-07 08:53

>>Поставь прозрачную проверку вирусов на внешнюю почту, например p3scan + clamav.
>
>Поставил, настроил... Почта не отправляется... Как дело доходит до отправки заголовка, соединение
>рвется, а в консоли (из которой запускаю p3scan) появляется:
>
>ERR: Scanner returned unexpected error code. You should check your configuration/system.
>sh: -c: line 0: unexpected EOF while looking for matching `''
>sh: -c: line 1: syntax error: unexpected end of file
>ERR: Calling do_log!ERR: We cot SIGTERM!
>
>Конфиги:
>p3scan.conf
>
>scannertype = clamd
>scanner = 127.0.0.1:3310
>checksize = 500
>
>все остальное по умолчанию.
>
>clamd.conf не менялся, кроме настроек сокета:
>TCPSocket 3310
>TCPAddr 127.0.0.1
>
>Правила iptables:
>iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0
>--dport 110 -j REDIRECT --to 8110
>iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0
>--dport 25 -j REDIRECT --to 8110

Я с отправкой не разбирался, получение работает хорошо.
Посмотрю на работе, попробую, потом напишу.

"Наш IP периодически блочат различные сайты"
Отправлено Heggi , 29-Апр-07 13:43

А если поставить postfix и на него водрузить отправку почты прозрачно для юзверов?
iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0 --dport 25 -j REDIRECT --to 25
А уже на postfix'e настроить антивирусную проверку почты.
Только реально ли сделать так, чтобы с внутренней сети Postfix был релеем, а с внешней принимал только свою почту (через пару дней будет собственный домен со своим почтовым сервером) ?

"Наш IP периодически блочат различные сайты"
Отправлено Junior , 29-Апр-07 19:20

>А если поставить postfix и на него водрузить отправку почты прозрачно для
>юзверов?
>iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0
>--dport 25 -j REDIRECT --to 25
>
>А уже на postfix'e настроить антивирусную проверку почты.
>
>Только реально ли сделать так, чтобы с внутренней сети Postfix был релеем,
>а с внешней принимал только свою почту (через пару дней будет
>собственный домен со своим почтовым сервером) ?

Естественно реально. Заставь пользователей отправлять почту через корпоративный почтовик.
Там прекрасно можно всё проверить на вирусы. У меня так и делается. Проблема была всегда в полученных письмах с внешних ящиков.
Моя связка Postfix + Clamav + Policyd + Dspam + P3Scan. Спама практически нет совсем, 1-2 письма в неделю могут проскочить, но быстро обучается фильтр Dspam и greylist (Policyd) держат прекрасно удар. Антивирус также не подвёл.