[MASOCH-L] Firewall conexão smtp
jonny at jonny.eng.br
jonny at jonny.eng.br
Mon Dec 2 12:08:29 BRST 2013
On 12/02/2013 09:33 AM, Leandro Carlos Rodrigues wrote:
> Aproveitando a discussão gostaria de esclarecer duas dúvidas:
>
> 1. Por qual motivo alguém fixaria uma porta de origem numa conexão SMTP?
- Burlar uma firewall stateless?
- Leu o livro do Stevens para programação Internet, e confundiu os
comandos de servidor com os de cliente?
> 2. Existe algum caso, SMTP ou não, que o "--sport" seria útil no
> firewall já que o normal é a origem ser aleatória?
>
> Atenciosamente,
>
> *Leandro Carlos Rodrigues
> TI - All Chemistry do Brasil Ltda.
> (11) 3014-7100*
> Em 29/11/2013 14:33, Rejaine Monteiro escreveu:
>>
>> Imaginei q fosse por isso mesmo (origem e destino na porta 25)
>> Melhor eu liberar a origem, pq convencer o provedor vai ser um parto..
>> Valeu
>>
>> Em 29-11-2013 13:48, nelson at pangeia.com.br escreveu:
>>> On Fri, Nov 29, 2013 at 01:24:13PM -0200, Rejaine Monteiro wrote:
>>>> aparecem várias classificações "anormais", como "tcp port numbers
>>>> reused" e "tcp aked unsseen segment" , "tcp dup ack"
>>> Porta reusada, o equipamento esta usando porta fixa de origem (25),
>>> trafego tcp normal geralmente sao originados com portas maior que
>>> 1024 e
>>> nao se repetem por um tempo.
>>> O resto pode estar relacionado a link saturado ou com com problemas.
>>> Ou voce libera a origemo, porta e destino 25 ou convence o provedor
>>>
>>> ./nelson -murilo
>>>
>>>>
>>>> Em 29-11-2013 12:41, Rejaine Monteiro escreveu:
>>>>>
>>>>> Capturei o tráfego usando tcdump e analisando com Wireshark ele
>>>>> classifcou o tráfego como anômalo (bad tcp) e com o seguinte
>>>>> log:
>>>>>
>>>>> "TCP Port numbers reused"
>>>>>
>>>>> O que isso signifca de fato?
>>>>>
>>>>>
>>>>>
>>>>> Em 29-11-2013 11:56, nelson at pangeia.com.br escreveu:
>>>>>> Eu faria duas coisas, nessa ordem:
>>>>>> 1) Um tcpdump na interface de entrada do firewall e analisaria
>>>>>> os pacotes deste IP de origem independente da porta, isso ja
>>>>>> pode dar uma dica do que esta rolando.
>>>>>> 2) deixaria o pacote passar (regra de excessao) e monitorria
>>>>>> dom o mesmo tcpdump pra ver como seria a conversa.
>>>>>>
>>>>>> ./nelson -murilo
>>>>>>
>>>>>>>> Oi pessoal,
>>>>>>>>
>>>>>>>> Estou com problemas para receber e-mail de um determinado
>>>>>>>> servidor que até
>>>>>>>> recentemente recebíamos normalmente.
>>>>>>>>
>>>>>>>> Nosso firewall passuo a recusar conexões provenientes deste
>>>>>>>> smtp server,
>>>>>>>> especificamente devido a regras de controle de multicast e
>>>>>>>> estado de
>>>>>>>> conexão inválida:
>>>>>>>>
>>>>>>>> .... -m limit --limit 3/min -m pkttype --pkt-type multicast (
>>>>>>>> -j LOG
>>>>>>>> --log-prefix "DROP-DEFLT ")
>>>>>>>> .... -m limit --limit 3/min -m state --state INVALID (-j LOG
>>>>>>>> --log-prefix "DROP-DEFLT-INV " )
>>>>>>>>
>>>>>>>> Log do firewall:
>>>>>>>>
>>>>>>>> DROP-DEFLT IN=IFW OUT=IDMZ SRC=IPSMTPORIGEM 237 DST=MAILSERVER
>>>>>>>> LEN=60
>>>>>>>> TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25
>>>>>>>> DPT=25 WINDOW=5840
>>>>>>>> RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
>>>>>>>>
>>>>>>>> DROP-DEFLT-INV IN=IFW OUT=IDMZ SRC=IPSMTPORIGEM DST=MAILSERVER
>>>>>>>> LEN=60
>>>>>>>> TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25
>>>>>>>> DPT=25 WINDOW=5840
>>>>>>>> RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
>>>>>>>>
>>>>>>>> Pelo que andei pesquisando, esses tipos de pacotes
>>>>>>>> normalmente tem que ser
>>>>>>>> mesmo bloqueados, porém estou sem saber como explicar para
>>>>>>>> o provedor de
>>>>>>>> origem (que insiste em dizer que o problema é o nosso
>>>>>>>> smtp/firewall, pois
>>>>>>>> eles conseguem enviar mensagens a outros destinos)? Será que
>>>>>>>> vou precisar
>>>>>>>> alterar nosso firewall para ignorar essas regras (ou pelo
>>>>>>>> menos para o IP
>>>>>>>> do smtp deles)?
>>>>>>>>
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>
>>>> --
>>>> Rejaine da Silveira Monteiro
>>>> Suporte-TI
>>>> Jamef Encomendas Urgentes
>>>> Matriz - Contagem/MG
>>>> Tel: (31) 2102-8854
>>>> www.jamef.com.br
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list