Hola, > he estado buscando la posibilidad con iptables pero no > encuentro > ejemplos especificos sobre DDOS sobre el puerto 25 :( >
Tal vez te sirvan estas directrices que una vez yo utilice, donde se detallan, la apertura del puerto 25 (WAN <->LAN) y el DOS, la apertura del smtp-ssl y el pop3-ssl, tal vez te sirvan: echo "SERVICIOS de CORREO ELECTRONICO.... " #Enmascaramos toda conexion de la WAN hacia puertos de la LAN iptables -t nat -A PREROUTING -p TCP -i $interfaz_internet --dport 25 -d $internet_ip_smtppop -j DNAT --to-destination $lan_ip_smtppop:25 iptables -t nat -A PREROUTING -p TCP -i $interfaz_internet --dport 995 -d $internet_ip_smtppop -j DNAT --to-destination $lan_ip_smtppop:995 iptables -t nat -A PREROUTING -p TCP -i $interfaz_internet --dport 465 -d $internet_ip_smtppop -j DNAT --to-destination $lan_ip_smtppop:465 #PROTECCION DE HACKEO USANDO FUERZA BRUTA para el puerto 25 iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 25 -m state --state NEW -m recent --set iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 25 -m state --state NEW -m recent --update --second 60 --hitcount 3 -j DROP iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 25 -j ACCEPT # FIN DE PROTECCION DE HACKEO USANDO FUERZA BRUTA para el puerto 25 #aceptamos redireccionamiento de puertos para conexiones WAN-->LAN iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 995 -j ACCEPT iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 465 -j ACCEPT #Ahora configuramos conexiones de paquetes LAN-->WAN para estados ya establecidos iptables -t filter -A FORWARD -p TCP -i $interfaz_lan -o $interfaz_internet -s $lan_ip_smtppop --sport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -p TCP -i $interfaz_lan -o $interfaz_internet -s $lan_ip_smtppop --sport 995 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -p TCP -i $interfaz_lan -o $interfaz_internet -s $lan_ip_smtppop --sport 465 -m state --state ESTABLISHED,RELATED -j ACCEPT #Ahora al servidor le dejamos realizar conexiones al puerto 25 de otros servidores para que se vayan los correos de #la LAN a INTERNET iptables -t filter -A FORWARD -p TCP -i $interfaz_lan -o $interfaz_internet --dport 25 -s $lan_ip_smtppop -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan --sport 25 -d $lan_ip_smtppop -m state --state ESTABLISHED,RELATED -j ACCEPT > ya lo tengo captura el SA junto con amavisd-new , el > problema es que > retrasan los mail Ni modo, la seguridad es ante todo. > lo tengo con el postfix , pero aun asi algunas no las > cacha, te las > posteo si me falta una me la regalas ... > > smtpd_recipient_restrictions = permit_sasl_authenticated, > permit_mynetworks, reject_rbl_client dnsbl.njabl.org, > reject_rbl_client dnsbl.sorbs.net, reject_rbl_client > list.dsbl.org, > reject_rbl_client > sbl-xbl.spamhaus.org,reject_unauth_destination Bueno, en mi caso no uso postfix, uso la suite de courier-mta, que me ha servido desde ya hace 5 años y pues..., gracias a Dios no he recibido spams en masa, cosa que antes los recibía a razon de 2000 por día cuando la empresa donde laboro tenía otro tipo de software servidor de correos, ahora recibo +/- los 2000, pero primero los cacho con el iptable y despues el rezago los detengo con los dsbl y el clamAV. También ayuda que tengas un buen AV si tus usuarios son Win2. Esta es la lista que he usado: 1- zen.spamhaus.org 2- cbl.abuseat.org 3- b.barracudacentral.org (debes suscribir tu DNS) > > 4- Si tienes usuarios que revisan su email, no trates > de abrir el puerto 25, sino, utiliza el smtp-ssl, pop3-ssl > ó imap-ssl, de esa forma si solamente tienes un solo > servidor puedes aplicar desde el firewall diferentes > políticas para los diferentes servicios. > > esto no lo habia pensado tan asi , voy a hacer > pruebas... > Por ejemplo aplica polítcas extremas al puerto 25 y relaja las de los otros puertos para usuarios de la empresa de tu red lan/wan. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/619986.35280...@web45102.mail.sp1.yahoo.com