[MASOCH-L] Firewall conexão smtp

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Mon Dec 2 09:33:57 BRST 2013 

Aproveitando a discussão gostaria de esclarecer duas dúvidas:

 1. Por qual motivo alguém fixaria uma porta de origem numa conexão SMTP?
 2. Existe algum caso, SMTP ou não, que o "--sport" seria útil no
    firewall já que o normal é a origem ser aleatória?

Atenciosamente,

*Leandro Carlos Rodrigues
TI - All Chemistry do Brasil Ltda.
(11) 3014-7100*
Em 29/11/2013 14:33, Rejaine Monteiro escreveu:
>
> Imaginei q fosse por isso mesmo (origem e destino na porta 25)
> Melhor eu liberar a origem, pq convencer o provedor vai ser um parto..
> Valeu
>
> Em 29-11-2013 13:48, nelson at pangeia.com.br escreveu:
>> On Fri, Nov 29, 2013 at 01:24:13PM -0200, Rejaine Monteiro wrote:
>>> aparecem várias  classificações "anormais", como  "tcp port numbers
>>> reused" e "tcp aked unsseen segment" , "tcp dup ack"
>> Porta reusada, o equipamento esta usando porta fixa de origem (25),
>> trafego tcp normal geralmente sao  originados com portas maior que 
>> 1024 e
>> nao se repetem por um tempo.
>> O resto pode estar relacionado a link saturado ou com com problemas.
>> Ou voce libera a origemo, porta e destino 25 ou convence o provedor
>>
>> ./nelson -murilo
>>
>>>
>>> Em 29-11-2013 12:41, Rejaine Monteiro escreveu:
>>>>
>>>> Capturei o tráfego usando tcdump  e analisando com Wireshark ele
>>>> classifcou o  tráfego como  anômalo (bad tcp) e com o seguinte
>>>> log:
>>>>
>>>> "TCP Port numbers reused"
>>>>
>>>> O que isso signifca de fato?
>>>>
>>>>
>>>>
>>>> Em 29-11-2013 11:56, nelson at pangeia.com.br escreveu:
>>>>> Eu faria duas coisas, nessa ordem:
>>>>> 1) Um tcpdump na interface de entrada do firewall e analisaria
>>>>> os pacotes deste IP de origem independente da porta, isso ja
>>>>> pode dar uma dica do que esta rolando.
>>>>>   2) deixaria o pacote passar (regra de excessao) e monitorria
>>>>> dom o mesmo tcpdump pra ver como seria a conversa.
>>>>>
>>>>> ./nelson -murilo
>>>>>
>>>>>>> Oi pessoal,
>>>>>>>
>>>>>>> Estou com problemas para receber e-mail de um determinado
>>>>>>> servidor que até
>>>>>>> recentemente recebíamos normalmente.
>>>>>>>
>>>>>>> Nosso firewall passuo a recusar conexões provenientes deste
>>>>>>> smtp server,
>>>>>>> especificamente devido a regras de controle de multicast e 
>>>>>>> estado de
>>>>>>> conexão inválida:
>>>>>>>
>>>>>>> ....  -m limit --limit 3/min -m pkttype --pkt-type multicast  ( 
>>>>>>> -j LOG
>>>>>>> --log-prefix "DROP-DEFLT ")
>>>>>>> ....  -m limit --limit 3/min -m state --state INVALID   (-j LOG
>>>>>>> --log-prefix "DROP-DEFLT-INV " )
>>>>>>>
>>>>>>> Log do firewall:
>>>>>>>
>>>>>>> DROP-DEFLT IN=IFW OUT=IDMZ SRC=IPSMTPORIGEM 237 DST=MAILSERVER 
>>>>>>> LEN=60
>>>>>>> TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25
>>>>>>> DPT=25 WINDOW=5840
>>>>>>> RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
>>>>>>>
>>>>>>> DROP-DEFLT-INV IN=IFW OUT=IDMZ  SRC=IPSMTPORIGEM DST=MAILSERVER 
>>>>>>> LEN=60
>>>>>>> TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25
>>>>>>> DPT=25 WINDOW=5840
>>>>>>> RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
>>>>>>>
>>>>>>> Pelo que andei pesquisando, esses tipos de pacotes
>>>>>>> normalmente tem que ser
>>>>>>> mesmo bloqueados, porém estou sem saber  como explicar para
>>>>>>> o provedor de
>>>>>>> origem (que insiste em dizer que o problema é o nosso
>>>>>>> smtp/firewall, pois
>>>>>>> eles conseguem enviar mensagens a outros destinos)? Será que
>>>>>>> vou precisar
>>>>>>> alterar nosso firewall para ignorar essas regras (ou pelo
>>>>>>> menos para o IP
>>>>>>> do smtp deles)?
>>>>>>>
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>
>>> -- 
>>> Rejaine da Silveira Monteiro
>>> Suporte-TI
>>> Jamef Encomendas Urgentes
>>> Matriz - Contagem/MG
>>> Tel: (31) 2102-8854
>>> www.jamef.com.br
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
>

More information about the masoch-l mailing list