[FUG-BR] ataque na porta 25 do qmail
Wesley Miranda
lista em freebsdconsult.com.br
Segunda Agosto 3 14:52:24 BRT 2009
Luis,
Segue a referência http://www.openbsd.org/faq/pf/pt/filter.html#stateopts
Wesley Miranda
FreeBSD Consult
www.freebsdconsult.com.br
----- Original Message -----
From: "Grupo FUG FUG" <fug460 em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, August 03, 2009 9:28 AM
Subject: Re: [FUG-BR] ataque na porta 25 do qmail
Olá Wesley
Vi que você passou essa regra e estava estudando ela para poder implantar e
fiquei com uma dúvida
table <smtp> persist
block in quick from <smtp>
pass in on $ext_if proto tcp to $web_server \
port www flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 5/5, overload <smtp> flush)
Onde temos $ext_inf e $web_server eu coloco a interfece referente ao ip do
meu servidor para os dois ou é diferente disso.
Obrigado,
Luís
2009/7/17 Wesley Miranda <lista em freebsdconsult.com.br>
> Caso utilize ipfw ou PF limita a porta 25 a quantidade de ips por exemplo:
> PF
>
> table <smtp> persist
> block in quick from <smtp>
>
> pass in on $ext_if proto tcp to $web_server \
> port www flags S/SA keep state \
> (max-src-conn 10, max-src-conn-rate 5/5, overload <smtp> flush)
>
> Seria uma das soluções.
> Abraço
>
> Wesley Miranda
> FreeBSD Consult
> www.freebsdconsult.com.br
> ----- Original Message -----
> From: "Grupo FUG FUG" <fug460 em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Wednesday, July 15, 2009 9:54 AM
> Subject: [FUG-BR] ataque na porta 25 do qmail
>
>
> Bom dia lista,
>
> Não sei se alguém esta passando o mesmo problema que eu aqui, estamos
> tendo
> uma acesso axaustivo na porta 25 por diversos IPs a um usuário que nem
> esta
> cadastrado no servidor de e-mail, com isso a porta 25 fica congestionada.
> Segue um log.
>
> Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.187.21.152
> Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.187.21.152
> Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.49.47.164
> Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.134.36.113
> Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:94.90.112.208
> Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.226.45.210
>
>
> E vem de inumeros Ips diferentes, podem ver que o sar em xxxx.com.br é o
> usuário que esses IPs estão tentando usar para enviar e-mails, mais mesmo
> sem sucesso as tentativas estão congestionando a porta 25 e não deixando
> quem realmente precisa enviar os e-mails
> Alguém ja passou por isso e poderia indicar uma forma de se proteger desse
> "ataque"
>
> Obrigado,
>
> Luís
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd