[MASOCH-L] Firewall conexão smtp
Rejaine Monteiro
rejaine at bhz.jamef.com.br
Fri Nov 29 14:33:20 BRST 2013
Imaginei q fosse por isso mesmo (origem e destino na porta 25)
Melhor eu liberar a origem, pq convencer o provedor vai ser um parto..
Valeu
Em 29-11-2013 13:48, nelson at pangeia.com.br escreveu:
> On Fri, Nov 29, 2013 at 01:24:13PM -0200, Rejaine Monteiro wrote:
>> aparecem várias classificações "anormais", como "tcp port numbers
>> reused" e "tcp aked unsseen segment" , "tcp dup ack"
> Porta reusada, o equipamento esta usando porta fixa de origem (25),
> trafego tcp normal geralmente sao originados com portas maior que 1024 e
> nao se repetem por um tempo.
> O resto pode estar relacionado a link saturado ou com com problemas.
> Ou voce libera a origemo, porta e destino 25 ou convence o provedor
>
> ./nelson -murilo
>
>>
>> Em 29-11-2013 12:41, Rejaine Monteiro escreveu:
>>>
>>> Capturei o tráfego usando tcdump e analisando com Wireshark ele
>>> classifcou o tráfego como anômalo (bad tcp) e com o seguinte
>>> log:
>>>
>>> "TCP Port numbers reused"
>>>
>>> O que isso signifca de fato?
>>>
>>>
>>>
>>> Em 29-11-2013 11:56, nelson at pangeia.com.br escreveu:
>>>> Eu faria duas coisas, nessa ordem:
>>>> 1) Um tcpdump na interface de entrada do firewall e analisaria
>>>> os pacotes deste IP de origem independente da porta, isso ja
>>>> pode dar uma dica do que esta rolando.
>>>> 2) deixaria o pacote passar (regra de excessao) e monitorria
>>>> dom o mesmo tcpdump pra ver como seria a conversa.
>>>>
>>>> ./nelson -murilo
>>>>
>>>>>> Oi pessoal,
>>>>>>
>>>>>> Estou com problemas para receber e-mail de um determinado
>>>>>> servidor que até
>>>>>> recentemente recebíamos normalmente.
>>>>>>
>>>>>> Nosso firewall passuo a recusar conexões provenientes deste
>>>>>> smtp server,
>>>>>> especificamente devido a regras de controle de multicast e estado de
>>>>>> conexão inválida:
>>>>>>
>>>>>> .... -m limit --limit 3/min -m pkttype --pkt-type multicast ( -j LOG
>>>>>> --log-prefix "DROP-DEFLT ")
>>>>>> .... -m limit --limit 3/min -m state --state INVALID (-j LOG
>>>>>> --log-prefix "DROP-DEFLT-INV " )
>>>>>>
>>>>>> Log do firewall:
>>>>>>
>>>>>> DROP-DEFLT IN=IFW OUT=IDMZ SRC=IPSMTPORIGEM 237 DST=MAILSERVER LEN=60
>>>>>> TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25
>>>>>> DPT=25 WINDOW=5840
>>>>>> RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
>>>>>>
>>>>>> DROP-DEFLT-INV IN=IFW OUT=IDMZ SRC=IPSMTPORIGEM DST=MAILSERVER LEN=60
>>>>>> TOS=0x00 PREC=0x00 TTL=52 ID=43287 DF PROTO=TCP SPT=25
>>>>>> DPT=25 WINDOW=5840
>>>>>> RES=0x00 SYN URGP=0 OPT (020405640402080AA3E7E3C40000000001030307)
>>>>>>
>>>>>> Pelo que andei pesquisando, esses tipos de pacotes
>>>>>> normalmente tem que ser
>>>>>> mesmo bloqueados, porém estou sem saber como explicar para
>>>>>> o provedor de
>>>>>> origem (que insiste em dizer que o problema é o nosso
>>>>>> smtp/firewall, pois
>>>>>> eles conseguem enviar mensagens a outros destinos)? Será que
>>>>>> vou precisar
>>>>>> alterar nosso firewall para ignorar essas regras (ou pelo
>>>>>> menos para o IP
>>>>>> do smtp deles)?
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>> --
>> Rejaine da Silveira Monteiro
>> Suporte-TI
>> Jamef Encomendas Urgentes
>> Matriz - Contagem/MG
>> Tel: (31) 2102-8854
>> www.jamef.com.br
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
--
Rejaine da Silveira Monteiro
Suporte-TI
Jamef Encomendas Urgentes
Matriz - Contagem/MG
Tel: (31) 2102-8854
www.jamef.com.br
More information about the masoch-l
mailing list