[MASOCH-L] Firewall conexão smtp
nelson at pangeia.com.br
nelson at pangeia.com.br
Fri Nov 29 13:48:40 BRST 2013
On Fri, Nov 29, 2013 at 01:24:13PM -0200, Rejaine Monteiro wrote:
>
> aparecem várias classificações "anormais", como "tcp port numbers
> reused" e "tcp aked unsseen segment" , "tcp dup ack"
Porta reusada, o equipamento esta usando porta fixa de origem (25),
trafego tcp normal geralmente sao originados com portas maior que 1024 e
nao se repetem por um tempo.
O resto pode estar relacionado a link saturado ou com com problemas.
Ou voce libera a origemo, porta e destino 25 ou convence o provedor
./nelson -murilo
>
>
> Em 29-11-2013 12:41, Rejaine Monteiro escreveu:
> >
> >
> >Capturei o tráfego usando tcdump e analisando com Wireshark ele
> >classifcou o tráfego como anômalo (bad tcp) e com o seguinte
> >log:
> >
> >"TCP Port numbers reused"
> >
> >O que isso signifca de fato?
> >
> >
> >
> >Em 29-11-2013 11:56, nelson at pangeia.com.br escreveu:
> >>Eu faria duas coisas, nessa ordem:
> >>1) Um tcpdump na interface de entrada do firewall e analisaria
> >>os pacotes deste IP de origem independente da porta, isso ja
> >>pode dar uma dica do que esta rolando.
> >> 2) deixaria o pacote passar (regra de excessao) e monitorria
> >>dom o mesmo tcpdump pra ver como seria a conversa.
> >>
> >>./nelson -murilo
> >>
> >>>>Oi pessoal,
> >>>>
> >>>>Estou com problemas para receber e-mail de um determinado
> >>>>servidor que até
> >>>>recentemente recebíamos normalmente.
> >>>>
> >>>>Nosso firewall passuo a recusar conexões provenientes deste
> >>>>smtp server,
> >>>>especificamente devido a regras de controle de multicast e estado de
> >>>>conexão inválida:
> >>>>
> >>>>.... -m limit --limit 3/min -m pkttype --pkt-type multicast ( -j LOG
> >>>>--log-prefix "DROP-DEFLT ")
> >>>>.... -m limit --limit 3/min -m state --state INVALID (-j LOG
> >>>>--log-prefix "DROP-DEFLT-INV " )
> >>>>
> >>>>Log do firewall:
> >>>>
> >>>>DROP-DEFLT IN=IFW OUT=IDMZ SRC=IPSMTPORIGEM 237 DST=MAILSERVER LEN=60
> >>>>TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25
> >>>>DPT=25 WINDOW=5840
> >>>>RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
> >>>>
> >>>>DROP-DEFLT-INV IN=IFW OUT=IDMZ SRC=IPSMTPORIGEM DST=MAILSERVER LEN=60
> >>>>TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25
> >>>>DPT=25 WINDOW=5840
> >>>>RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
> >>>>
> >>>>Pelo que andei pesquisando, esses tipos de pacotes
> >>>>normalmente tem que ser
> >>>>mesmo bloqueados, porém estou sem saber como explicar para
> >>>>o provedor de
> >>>>origem (que insiste em dizer que o problema é o nosso
> >>>>smtp/firewall, pois
> >>>>eles conseguem enviar mensagens a outros destinos)? Será que
> >>>>vou precisar
> >>>>alterar nosso firewall para ignorar essas regras (ou pelo
> >>>>menos para o IP
> >>>>do smtp deles)?
> >>>>
> >>>>__
> >>>>masoch-l list
> >>>>https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>
> >>__
> >>masoch-l list
> >>https://eng.registro.br/mailman/listinfo/masoch-l
> >
> >
>
>
> --
> Rejaine da Silveira Monteiro
> Suporte-TI
> Jamef Encomendas Urgentes
> Matriz - Contagem/MG
> Tel: (31) 2102-8854
> www.jamef.com.br
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list