[MASOCH-L] Firewall conexão smtp

Rejaine Monteiro rejaine at bhz.jamef.com.br
Fri Nov 29 13:24:13 BRST 2013 

aparecem várias  classificações "anormais", como  "tcp port numbers 
reused" e "tcp aked unsseen segment" , "tcp dup ack"


Em 29-11-2013 12:41, Rejaine Monteiro escreveu:
>
>
> Capturei o tráfego usando tcdump  e analisando com Wireshark ele 
> classifcou o  tráfego como  anômalo (bad tcp) e com o seguinte log:
>
> "TCP Port numbers reused"
>
> O que isso signifca de fato?
>
>
>
> Em 29-11-2013 11:56, nelson at pangeia.com.br escreveu:
>> Eu faria duas coisas, nessa ordem:
>> 1) Um tcpdump na interface de entrada do firewall e analisaria
>> os pacotes deste IP de origem independente da porta, isso ja
>> pode dar uma dica do que esta rolando.
>>   2) deixaria o pacote passar (regra de excessao) e monitorria
>> dom o mesmo tcpdump pra ver como seria a conversa.
>>
>> ./nelson -murilo
>>
>>>> Oi pessoal,
>>>>
>>>> Estou com problemas para receber e-mail de um determinado servidor 
>>>> que até
>>>> recentemente recebíamos normalmente.
>>>>
>>>> Nosso firewall passuo a recusar conexões provenientes deste smtp 
>>>> server,
>>>> especificamente devido a regras de controle de multicast e estado de
>>>> conexão inválida:
>>>>
>>>> ....  -m limit --limit 3/min -m pkttype --pkt-type multicast  ( -j LOG
>>>> --log-prefix "DROP-DEFLT ")
>>>> ....  -m limit --limit 3/min -m state --state INVALID   (-j LOG
>>>> --log-prefix "DROP-DEFLT-INV " )
>>>>
>>>> Log do firewall:
>>>>
>>>> DROP-DEFLT IN=IFW OUT=IDMZ SRC=IPSMTPORIGEM 237 DST=MAILSERVER LEN=60
>>>> TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25 DPT=25 
>>>> WINDOW=5840
>>>> RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
>>>>
>>>> DROP-DEFLT-INV IN=IFW OUT=IDMZ  SRC=IPSMTPORIGEM DST=MAILSERVER LEN=60
>>>> TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25 DPT=25 
>>>> WINDOW=5840
>>>> RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
>>>>
>>>> Pelo que andei pesquisando, esses tipos de pacotes normalmente tem 
>>>> que ser
>>>> mesmo bloqueados, porém estou sem saber  como explicar para o 
>>>> provedor de
>>>> origem (que insiste em dizer que o problema é o nosso 
>>>> smtp/firewall, pois
>>>> eles conseguem enviar mensagens a outros destinos)? Será que vou 
>>>> precisar
>>>> alterar nosso firewall para ignorar essas regras (ou pelo menos 
>>>> para o IP
>>>> do smtp deles)?
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
>


-- 
Rejaine da Silveira Monteiro
Suporte-TI
Jamef Encomendas Urgentes
Matriz - Contagem/MG
Tel: (31) 2102-8854
www.jamef.com.br

More information about the masoch-l mailing list