Senhores, tenho a seguinte situacao: fui solicitado para resolver um
problema que est� prejudicando uma empresa com a qual tenho contato (na
verdade sao 4 empresas interligadas).
Cada uma tem sua rede interna:
- 10.3.153.0/24
- 192.168.0.0/24
- 10.1.152.0/24
- 129.12.86.0/24
Essas redes estao ligadas via frame-relay da BrasilTelecom (Brt).
Fisicamente, nao conheco a estrutura deles. Sei apenas que possuem um
Conectiva 8 com Sendmail 8.11.6 e Apache rodando. Cada empresa possui um
dom�nio pr�prio que � respondido por este Conectiva.
O plano adquirido da Brt lhes permite 6 IPs v�lidos, sendo a m�scara
255.255.255.248 utilizada.
Nesse Conectiva, por onde acesso via ssh, a eth0 est� configurada com esses
6 IPs. Qualquer transacao de entrada/saida, nao importa qual a rede de
origem, � feita utilizando-se apenas um IP (doravante denominado IP (1)), ou
seja, � feito um NAT. Se os outros IPs forem requisitados, eles sao
encaminhados para m�quinas internas das empresas. Por exemplo:
IP (1) � encaminhado para 10.3.153.200 ==> Conectiva no qual estou mexendo
IP (2) � encaminhado para 10.3.153.3 (Windows 2000)
IP (3) � encaminhado para 192.168.0.1 (Windows 2000)
IP (4) � encaminhado para 10.1.152.205 (Windows 2000)
IP (5) � encaminhado para 129.12.86.34 (Windows 98)
O problema �: algu�m(ns) est�(�o) utilizando o IP (1) para fazer Spam. H�
cerca de 20 dias consegui bloquear apenas mexendo nos arquivos dentro do
/etc/mail. Mas logo depois conseguiram furar isso. Entao apliquei mais
regras com iptables q resolveu temporariamente. Alguns dias depois foram
bloqueados novamente pq estavam usando o SMTP do Windows 2000 de uma das
m�quinas e, incrivelmente, usando o IP (2) para sair (at� agora nao entendi
como fizeram isso). No desespero, coloquei esse monte de regras no iptables:
iptables -A FORWARD -s ! 10.1.152.0/24 -d <IP (1)> -p tcp --dport 25 -j
DROP
iptables -A FORWARD -s ! 10.3.153.0/24 -d <IP (1)> -p tcp --dport 25 -j
DROP
iptables -A FORWARD -s ! 129.12.86.0/24 -d <IP (1)> -p tcp --dport 25 -j
DROP
iptables -A FORWARD -s ! 192.168.0.0/24 -d <IP (1)> -p tcp --dport 25 -j
DROP
iptables -A FORWARD -s ! 10.1.152.0/24 -d <IP (1)> -p udp --dport 25 -j
DROP
iptables -A FORWARD -s ! 10.3.153.0/24 -d <IP (1)> -p udp --dport 25 -j
DROP
iptables -A FORWARD -s ! 129.12.86.0/24 -d <IP (1)> -p udp --dport 25 -j
DROP
iptables -A FORWARD -s ! 192.168.0.0/24 -d <IP (1)> -p udp --dport 25 -j
DROP
iptables -A FORWARD -s ! 10.1.152.0/24 -d <IP (1)> -p tcp --dport 110 -j
DROP
iptables -A FORWARD -s ! 10.3.153.0/24 -d <IP (1)> -p tcp --dport 110 -j
DROP
iptables -A FORWARD -s ! 129.12.86.0/24 -d <IP (1)> -p tcp --dport 110 -j
DROP
iptables -A FORWARD -s ! 192.168.0.0/24 -d <IP (1)> -p tcp --dport 110 -j
DROP
iptables -A FORWARD -s ! 10.1.152.0/24 -d <IP (1)> -p udp --dport 110 -j
DROP
iptables -A FORWARD -s ! 10.3.153.0/24 -d <IP (1)> -p udp --dport 110 -j
DROP
iptables -A FORWARD -s ! 129.12.86.0/24 -d <IP (1)> -p udp --dport 110 -j
DROP
iptables -A FORWARD -s ! 192.168.0.0/24 -d <IP (1)> -p udp --dport 110 -j
DROP
iptables -A FORWARD -d <IP (2)> -p tcp --dport 25 -j DROP
iptables -A FORWARD -d <IP (2)> -p udp --dport 25 -j DROP
iptables -A FORWARD -d <IP (3)> -p tcp --dport 25 -j DROP
iptables -A FORWARD -d <IP (3)> -p udp --dport 25 -j DROP
iptables -A FORWARD -d <IP (4)> -p tcp --dport 25 -j DROP
iptables -A FORWARD -d <IP (4)> -p udp --dport 25 -j DROP
iptables -A FORWARD -d <IP (5)> -p tcp --dport 25 -j DROP
iptables -A FORWARD -d <IP (5)> -p udp --dport 25 -j DROP
iptables -A FORWARD -d <IP (6)> -p tcp --dport 25 -j DROP
iptables -A FORWARD -d <IP (6)> -p udp --dport 25 -j DROP
Este final de semana ficaram bloqueados novamente. Tenho acompanhado atrav�s
do www.spamcop.net, que � quem est� bloqueando, atrav�s das estatisticas
abaixo:
Qty Most Recent Oldest
Sample traffic:177 13.8 days ago 14.3 days ago
Trap recipients:10 41 hours ago Recent date not yet available
Spam reports:19 38 hours ago Recent date not yet available
Relaying reports: None recorded
Relay closed: None recorded
Tamb�m verifiquei o relay atrav�s do www.ordb.org e do
http://abuse.net/relay.html, mas nenhum deles indicou como aberto.
O que posso fazer para solucionar isso??????
Leonardo
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
