[URGENT] blocker une ip avec iptable (spamming)

blocker une ip avec iptable (spamming) [URGENT] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 24-03-2006 à 21:00:45    

Hello,
 
j'ai une machine qui se mange 10 mails par seconde sur une adresse.
 
Je souhaite blocker temporrairement blocker l'ip de cette machine smtp1.jouve-hdi.com
 
visiblement l'hommemoderne on un souci avec leur newsletter
 
j'ai essayer ca :  
 iptables -A INPUT -s 195.6.57.126 -p TCP -j REJECT
 
mais ca ne semble pas marcher... faut faire qqch de plus pour que la regle s'applique? ou elle est fausse?
 


Mar 24 21:00:25 dell1 postfix/cleanup[10853]: 033E44FAC0: message-id=<E1FMmCt-0000R3-00@smtp1.jouve-hdi.com>
Mar 24 21:00:25 dell1 postfix/qmgr[26240]: B5DC35183C: removed
Mar 24 21:00:25 dell1 postfix/qmgr[26240]: 033E44FAC0: from=<newsletterlhommemoderne@lhommemoderne.com>, size=1461, nrcpt=1 (queue active)
Mar 24 21:00:25 dell1 lmtpunix[10523]: IOERROR: fstating sieve script /var/lib/imap/sieve/i/somacount/defaultbc: No such file or directory
Mar 24 21:00:25 dell1 lmtpunix[10523]: duplicate_check: <E1FMmCt-0000R3-00@smtp1.jouve-hdi.com>  user.someacount 0
Mar 24 21:00:25 dell1 lmtpunix[10523]: mystore: starting txn 2147878739
Mar 24 21:00:25 dell1 lmtpunix[10523]: mystore: committing txn 2147878739
Mar 24 21:00:25 dell1 lmtpunix[10523]: duplicate_mark: <E1FMmCt-0000R3-00@smtp1.jouve-hdi.com>  user.someacount 1143230425 18324
Mar 24 21:00:25 dell1 postfix/lmtp[11264]: 033E44FAC0: to=<someaccount@localhost>, relay=/var/lib/imap/socket/lmtp[/var/lib/imap/socket/lmtp], delay=0, status=sent (250 2.1.5 Ok)
Mar 24 21:00:25 dell1 postfix/qmgr[26240]: 033E44FAC0: removed


 
Thx for help!!


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 21:00:45   

Reply

Marsh Posté le 24-03-2006 à 21:05:06    

c zarb,
 
ma regle apparait bien dans iptables -L
 
 
REJECT     tcp  --  smtp1.jouve-hdi.com  anywhere            reject-with icmp-port-unreachable


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 21:12:10    

HELP!!!


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 21:56:00    

purée... y'a une guerre nucléaire ou qqch???


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 21:58:51    

et tout bonnement un  
 
iptables -A INPUT -s smtp1.jouve-hdi.com -j DROP  
 
?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 24-03-2006 à 22:09:55    

Ou bien :
 
iptables -I selon comment tu as défini des précédentes règles.


Message édité par Cruchot le 24-03-2006 à 22:10:06
Reply

Marsh Posté le 24-03-2006 à 22:10:09    

ben... bizarrement ca n'a plus d'effet
je recoit toujours des mails


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:11:03    

voila la liste des regles que j'ai actuellement :
 

[root@dell1 postfix]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere
DROP       all  --  smtp1.jouve-hdi.com  anywhere
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     ipv6-crypt--  anywhere             anywhere
ACCEPT     ipv6-auth--  anywhere             anywhere
ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:5353
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:11:18    

ya 2 smtp sur le domaine en question, essaye de les bloquer les 2


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 24-03-2006 à 22:15:01    

dans les logs de postfix, je ne vois que smtp1


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:15:01   

Reply

Marsh Posté le 24-03-2006 à 22:17:56    

j'ai rajouter le 2 mais, ca tourne toujours


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:24:06    

comme dit cruchot, rajoute les avec -I au lieu de -A histoire qu'elle soient matchées en premier


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 24-03-2006 à 22:25:22    

Dis, t'es sur qu'il sert à qqchose ton firewall là, vu les règles que tu nous as mises à lire ? :D
 
Réfléchis un peu et si vraiment tu trouves pas, je te dirais ce qui va pas ;)  
Mais fais un effort de réflexion et de recherche (un peu de doc notamment) avant  :jap:


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 24-03-2006 à 22:27:37    

Spoiler :


ça RH-Firewall-1-INPUT  all  --  anywhere             anywhere
suivie de ça ACCEPT     all  --  anywhere             anywhere
c'est comme si t'avais pas de fw, quasiment (manque un -v -n dans le iptables pour être affirmatif :o )


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 24-03-2006 à 22:27:41    

RH-Firewall-1-INPUT  all  --  anywhere             anywhere  
 
ca serait ca?

Message cité 1 fois

---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:30:02    

paquerette a écrit :

RH-Firewall-1-INPUT  all  --  anywhere             anywhere  
 
ca serait ca?


Pas seulement, tu es sur la bonne voie  ;)
 
donnes la liste de tes règles mais en rajoutant les options -n -v --line à iptables, stp, histoire d'être sur d'un truc  :o


Message édité par Zzozo le 24-03-2006 à 22:30:26

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 24-03-2006 à 22:33:55    

oki... (c'est juste la conclusion d'une super mauvaise journée...)
 
Le serveur est derrière un firewall mutualisé, donc normalement, je ne m'occupe pas de ca...
 
 
Comme je n'aimerais pas me couper l'herbe sous le pied (en ptc ma connexion ssh)
 
est ce que tu pourrais m'aider...
 
 
J'ai besoin d'avoir ca ouvert :  
 
TCP : 22(ssh),80(http), 993(imaps), 995(pop3s)
TCP/UDP : 25(smtp),53(DNS)
 
heu je crois que c tout...

Message cité 1 fois

---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:34:08    

Tiens profites en pour lire cette doc là  
http://christian.caleca.free.fr/netfilter.html
 
Y'en a d'autres mais faut bien commencer par qqpart :o
 
Parce que j'ai la très nette impression que tu as hérité d'un "paquet encombrant" et que tu sais pas comment le prendre  :)

Message cité 1 fois

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 24-03-2006 à 22:34:39    

[root@dell1 postfix]# iptables -L -n -v --line
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    33476 4266K RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 DROP       all  --  *      *       195.6.57.126         0.0.0.0/0
3        0     0 DROP       all  --  *      *       193.108.167.126      0.0.0.0/0
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 
Chain OUTPUT (policy ACCEPT 37836 packets, 15M bytes)
num   pkts bytes target     prot opt in     out     source               destination
 
Chain RH-Firewall-1-INPUT (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1    19999 3058K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2      151 11146 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
3        0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
5        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251         udp dpt:5353
6        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:631
7     8690  918K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
8        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
9      164  8072 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
10     140  7196 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
11       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
12    4332  263K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:34:44    

paquerette a écrit :

oki... (c'est juste la conclusion d'une super mauvaise journée...)
 
Le serveur est derrière un firewall mutualisé, donc normalement, je ne m'occupe pas de ca...
 
 
Comme je n'aimerais pas me couper l'herbe sous le pied (en ptc ma connexion ssh)
 
est ce que tu pourrais m'aider...
 
 
J'ai besoin d'avoir ca ouvert :  
 
TCP : 22(ssh),80(http), 993(imaps), 995(pop3s)
TCP/UDP : 25(smtp),53(DNS)
 
heu je crois que c tout...


C'est un serveur, il ne route pas ?


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 24-03-2006 à 22:35:15    

Zzozo a écrit :

Parce que j'ai la très nette impression que tu as hérité d'un "paquet encombrant" et que tu sais pas comment le prendre  :)


 
 [:wipeout_tt]  exact...


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:35:38    

nan, ca fait serveur web, dns et mail


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:37:08    

[root@dell1 postfix]# nmap localhost
 
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-03-24 22:40 CET
Interesting ports on dell1.monsite.com (127.0.0.1):
(The 1648 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
143/tcp  open  imap
783/tcp  open  hp-alarm-mgr
953/tcp  open  rndc
993/tcp  open  imaps
995/tcp  open  pop3s
2000/tcp open  callbook
3306/tcp open  mysql
 
Nmap run completed -- 1 IP address (1 host up) scanned in 0.231 seconds


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:44:14    

le nmap sur localhost ne sert pas à grand chose ...


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 24-03-2006 à 22:48:55    

ben a voir ce qui tourne sur la machine non?

Message cité 1 fois

---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 22:51:22    

pour autoriser tout sauf le serveur smtp qui m'embete, je fait un flush, puis j'ajoute la regle qui block le serveur et c tout?


Message édité par paquerette le 24-03-2006 à 22:58:55

---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 23:04:18    

paquerette a écrit :

ben a voir ce qui tourne sur la machine non?


[:neowen]


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 24-03-2006 à 23:07:21    

vi vi... ca donne une idée... j'ai juste envie de me coucher la.. je suis explosé...
 
visiblement flusher les regles et blocker le serveur smpt ca ne suffit pas...
 
tu peux me dire ce qu'il faut que je fasse pour que je puisse hiberner jusqu'a lundi?


---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le 24-03-2006 à 23:30:03    

bon ca a l'air de s'etre calmé (peut etre que je voyais les mails encore dans la queue) => dodo


Message édité par paquerette le 24-03-2006 à 23:34:33

---------------
Paquerette - "Life is a zoo in a jungle." - Peter De Vries. Mes anciens feedback Achat/Ventes : https://forum.hardware.fr/hfr/Achat [...] 8859_1.htm
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed