The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Наш IP периодически блочат различные сайты, !*! Heggi, 28-Апр-07, 12:00  [смотреть все]
Собстно сабж происходит в сетке на 150 юзверей.
На одном из сайтов я выяснил, что с нашего IP кто-то рассылает трояны по почте.
Что посоветуете поставить на сервак, чтобы найти этого гада или блокировать подобную фигню?
Шлюзом Linux с 3-мя интерфейсами: внутренний, ADSL и спутнег. Для всех юзеров поднят NAT с фильтрацией по IP+MAC + прозрачный прокси Squid на http траффик по 80 порту.
Ответить | Сообщить модератору
  • Наш IP периодически блочат различные сайты, !*! Junior, 12:29 , 28-Апр-07 (1)
    >Собстно сабж происходит в сетке на 150 юзверей.
    >На одном из сайтов я выяснил, что с нашего IP кто-то рассылает
    >трояны по почте.
    >Что посоветуете поставить на сервак, чтобы найти этого гада или блокировать подобную
    >фигню?
    >Шлюзом Linux с 3-мя интерфейсами: внутренний, ADSL и спутнег. Для всех юзеров
    >поднят NAT с фильтрацией по IP+MAC + прозрачный прокси Squid на
    >http траффик по 80 порту.


    Поставь прозрачную проверку вирусов на внешнюю почту, например p3scan + clamav.

    Ответить | Сообщить модератору
    • Наш IP периодически блочат различные сайты, !*! Heggi, 01:09 , 29-Апр-07 (2)
      >Поставь прозрачную проверку вирусов на внешнюю почту, например p3scan + clamav.

      Поставил, настроил... Почта не отправляется... Как дело доходит до отправки заголовка, соединение рвется,  а в консоли (из которой запускаю p3scan) появляется:

      ERR: Scanner returned unexpected error code. You should check your configuration/system.
      sh: -c: line 0: unexpected EOF while looking for matching `''
      sh: -c: line 1: syntax error: unexpected end of file
      ERR: Calling do_log!ERR: We cot SIGTERM!

      Конфиги:
      p3scan.conf

      scannertype = clamd
      scanner = 127.0.0.1:3310
      checksize = 500

      все остальное по умолчанию.

      clamd.conf не менялся, кроме настроек сокета:
      TCPSocket 3310
      TCPAddr 127.0.0.1

      Правила iptables:
      iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0 --dport 110 -j REDIRECT --to 8110
      iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0 --dport 25 -j REDIRECT --to 8110

      Ответить | Сообщить модератору
      • Наш IP периодически блочат различные сайты, !*! Junior, 08:53 , 29-Апр-07 (3)
        >>Поставь прозрачную проверку вирусов на внешнюю почту, например p3scan + clamav.
        >
        >Поставил, настроил... Почта не отправляется... Как дело доходит до отправки заголовка, соединение
        >рвется,  а в консоли (из которой запускаю p3scan) появляется:
        >
        >ERR: Scanner returned unexpected error code. You should check your configuration/system.
        >sh: -c: line 0: unexpected EOF while looking for matching `''
        >sh: -c: line 1: syntax error: unexpected end of file
        >ERR: Calling do_log!ERR: We cot SIGTERM!
        >
        >Конфиги:
        >p3scan.conf
        >
        >scannertype = clamd
        >scanner = 127.0.0.1:3310
        >checksize = 500
        >
        >все остальное по умолчанию.
        >
        >clamd.conf не менялся, кроме настроек сокета:
        >TCPSocket 3310
        >TCPAddr 127.0.0.1
        >
        >Правила iptables:
        >iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0
        >--dport 110 -j REDIRECT --to 8110
        >iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0
        >--dport 25 -j REDIRECT --to 8110


        Я с отправкой не разбирался, получение работает хорошо.
        Посмотрю на работе, попробую, потом напишу.

        Ответить | Сообщить модератору
        • Наш IP периодически блочат различные сайты, !*! Heggi, 13:43 , 29-Апр-07 (4)
          А если поставить postfix и на него водрузить отправку почты прозрачно для юзверов?
          iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0 --dport 25 -j REDIRECT --to 25

          А уже на postfix'e настроить антивирусную проверку почты.

          Только реально ли сделать так, чтобы с внутренней сети Postfix был релеем, а с внешней принимал только свою почту (через пару дней будет собственный домен со своим почтовым сервером) ?

          Ответить | Сообщить модератору
          • Наш IP периодически блочат различные сайты, !*! Junior, 19:20 , 29-Апр-07 (5)
            >А если поставить postfix и на него водрузить отправку почты прозрачно для
            >юзверов?
            >iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -d ! 192.168.222.0/255.255.255.0
            >--dport 25 -j REDIRECT --to 25
            >
            >А уже на postfix'e настроить антивирусную проверку почты.
            >
            >Только реально ли сделать так, чтобы с внутренней сети Postfix был релеем,
            >а с внешней принимал только свою почту (через пару дней будет
            >собственный домен со своим почтовым сервером) ?


            Естественно реально. Заставь пользователей отправлять почту через корпоративный почтовик.
            Там прекрасно можно всё проверить на вирусы. У меня так и делается. Проблема была всегда в полученных письмах с внешних ящиков.
            Моя связка Postfix + Clamav + Policyd + Dspam + P3Scan. Спама практически нет совсем, 1-2 письма в неделю могут проскочить, но быстро обучается фильтр Dspam и greylist (Policyd) держат прекрасно удар. Антивирус также не подвёл.

            Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру