Re: Script de iptables ainda nao está bloqueando!
Já tinha tentado de várias formas bloquear pelo squid e não tinha conseguido.. aí resolvi ver outros tipos de bloqueio e consegui bloqueando tudo de: passport.com msn.com webmessenger Criei uma acl para bloquear o domínio inteiro: acl proibidos dstdom_regex "/etc/squid/proibidos" Coloquei nos arquivos as palavras a serem bloqueadas nas URL e pimba.. msn nao funcionou mais hehehe Qualquer coisa .msn.com ou .passport.com nao entra.. agora o safado nao loga mais hehe Apesar de já ter conseguido bloquear o msn, vou estudar a possibilidade de dropar tudo de prerouting e ir liberando conforme a necessidade, Muito obrigado !! - Original Message - From: Daniel Picon To: debian-user-portuguese@lists.debian.org Sent: Friday, February 17, 2006 8:36 AM Subject: Re: Script de iptables ainda nao está bloqueando! Fábio, por falta de uma, darei três sugestões: 1) Essa, se for possível, acho que é melhor... bloqueie sites usando o squid. Instale o proxy e de uma lida na documentação que vc acha fácil na net que fica fácil bloquear acesso a sites e, no caso, vc coloca bloqueando os sites de login do msn. 2) Caso não possa usar o proxy, vc deve bloquear o acesso ao site de login do msn pela tabela NAT na chain PREROUTING... todo o tráfego interno da rede eu bloqueio por aí... 3) deixe como política padrão o DROP para o PREROUTING e apenas libere o que achar converniente... acho que é mais fácil de fazer o firewall dessa forma. Caso não funcione, dê um retorno e entraremos em detalhes, mas acho que com isso você vai conseguir o que quer, ok? Espero ter ajudado []´s Daniel - Original Message - From: [EMAIL PROTECTED] To: debian-user-portuguese@lists.debian.org Sent: Thursday, February 16, 2006 6:34 PM Subject: Script de iptables ainda nao está bloqueando! Fala galera, postei há um tempo atrás para analisarem meu script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. Vocês têm alguma sugestão? Segue o script: # Definição de Policiamento ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" >/proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" > /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Trafego restrito REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone # Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! EST
Script de iptables ainda nao está bloqueando!
Fala galera, postei há um tempo atrás para analisarem meu script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. Vocês têm alguma sugestão? Segue o script: # Definição de Policiamento ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" >/proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" > /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Trafego restrito REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone # Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-inputiptables -A int-input -p icmp -m limit --limit 1/s -j ACCEPTiptables -A int-input -p icmp -j ACCEPT #aceitando trafego para algumas portas..iptables -A int-input -p tcp --dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPTiptables -A int-input -p tcp --dport 783 -j ACCEPTiptables -A int-input -p tcp --dport 993 -j ACCEPTiptables -A int-input -p tcp --dport 143 -j ACCEPTiptables -A int-input -p tcp --dport 995 -j ACCEPT #iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT Tabela nat # Squid redirectiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # É feito masquerading dos outros serviços da rede interna indo para a interface # eth1 # Ativando mascaramento para determinadas portas iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 21 -j MASQUERADE Muito obrigadoo!
Re: Hylafax + Modem Classe 1 ou 2
O próprio Hylafax já detectou a classe do modem..obrigado a todos !! - Original Message - From: "Fabiano Pires" <[EMAIL PROTECTED]> To: "Lista Debian" Sent: Tuesday, February 14, 2006 4:16 PM Subject: Re: Hylafax + Modem Classe 1 ou 2 A página do fabricante do Modem deve informar. Acho que um dos comandos AT (que são enviados quando se faz um teste do tipo "Consultando Modem" no kppp e no Windows) informam qual o tipo de emulação de fax do seu modem. BTW, acho que todos os modems mais modernos são classe 2. Fabiano. Em 14/01/06, master_<[EMAIL PROTECTED]> escreveu: Olá a todos.. Estou querendo instalar um servidor de fax, porém antes quero descobrir se os modems que tenho disponíveis aqui são classe 1 ou 2. Procurei por tudo que é canto algum lugar que ensinasse a olhar isso mas nada. Alguém tem alguma sugestão de como faço para descobrir isso? Existe algum teste ou comando que mostre isso pra mim?? Obrigado! -- Abraços, Fabiano -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Hylafax + Modem Classe 1 ou 2
Olá a todos.. Estou querendo instalar um servidor de fax, porém antes quero descobrir se os modems que tenho disponíveis aqui são classe 1 ou 2. Procurei por tudo que é canto algum lugar que ensinasse a olhar isso mas nada. Alguém tem alguma sugestão de como faço para descobrir isso? Existe algum teste ou comando que mostre isso pra mim?? Obrigado!
Re: Qmail+Squirrelmail: problemas ao enviar (+eMPF)
Vou deixar a solução aqui. Basta entrar nas configs do Squirrel e setar em Server Settings(2) -> (3) Sendmail or SMTP: colocar "Sendmail" e não SMTP. - Original Message - From: master_ To: debian-user-portuguese@lists.debian.org Sent: Sunday, February 12, 2006 6:37 PM Subject: Qmail+Squirrelmail: problemas ao enviar (+eMPF) Bom.. estou rodando aqui qmail (toaster guide 0.86) + eMPF e estou tendo alguns problemas ao enviar mensagens pelo squirrelmail. Versoes do Courier: courier-authlib-0.58courier-imap-4.0.6 Compilei os dois e tive um probleminha com o authdaemon. Verificando o syslog tinha a mensagem: "error while loading shared libraries: libltdl.so.3" entao copiei a mesma pra um nível abaixo e rodou blz.. Só que toda vez que eu rodo o authdaemon aparece o seguinte no syslog: authdaemond: modules="authvchkpw", daemons=5 authdaemond: Installing libauthvchkpw authdaemond: Installation complete: authvchkpw É normal isso?! Toda vez que eu dou stop e start aparece isso.. Prosseguindo.. O squirrelmail que nao estava funcionando devido ao IMAP, passou a funcionar parcialmente: conecta no telnet, faz login tudo blz. Pelo Squirrelmail, consigo checar os emails normalmente. Porém... ao tentar enviar um email aparece: Requested action not taken: mailbox unavailableServer replied: 550 cannot message [EMAIL PROTECTED] (#5.0.0 denied by policy) Já percebi que é devido à política do eMPF.. que não está autenticando meu usuário. Porém, se via SMTP normal (outlook, thunderbird..) funciona tudo certinho, por que o imap não está autenticando direito ? Alguma sugestão? ps.: http://www.shupp.org/toaster/ -> link para a instalacao que eu segui ps.2: rodando em Debian Sarge Obrigado a todos !!
Qmail+Squirrelmail: problemas ao enviar (+eMPF)
Bom.. estou rodando aqui qmail (toaster guide 0.86) + eMPF e estou tendo alguns problemas ao enviar mensagens pelo squirrelmail. Versoes do Courier: courier-authlib-0.58courier-imap-4.0.6 Compilei os dois e tive um probleminha com o authdaemon. Verificando o syslog tinha a mensagem: "error while loading shared libraries: libltdl.so.3" entao copiei a mesma pra um nível abaixo e rodou blz.. Só que toda vez que eu rodo o authdaemon aparece o seguinte no syslog: authdaemond: modules="authvchkpw", daemons=5 authdaemond: Installing libauthvchkpw authdaemond: Installation complete: authvchkpw É normal isso?! Toda vez que eu dou stop e start aparece isso.. Prosseguindo.. O squirrelmail que nao estava funcionando devido ao IMAP, passou a funcionar parcialmente: conecta no telnet, faz login tudo blz. Pelo Squirrelmail, consigo checar os emails normalmente. Porém... ao tentar enviar um email aparece: Requested action not taken: mailbox unavailableServer replied: 550 cannot message [EMAIL PROTECTED] (#5.0.0 denied by policy) Já percebi que é devido à política do eMPF.. que não está autenticando meu usuário. Porém, se via SMTP normal (outlook, thunderbird..) funciona tudo certinho, por que o imap não está autenticando direito ? Alguma sugestão? ps.: http://www.shupp.org/toaster/ -> link para a instalacao que eu segui ps.2: rodando em Debian Sarge Obrigado a todos !!
Re: Qmail com SMTP-auth deixando spammer entrar (RESOLVIDO)
Galera muito obrigado pela ajuda.. se eu não tivesse sido teimoso e instalado logo a solução do Pruonckk eu não teria quebrado tanto a cabeça.. mas nesse bate-cabeça aprendi muita coisa interessante então até valeu a pena hehe.. Toda vez que meu email vai ser enviado tem uma policy que verifica se o dominio é local.. muito bom isso hehe.. era exatamente o que eu queria! Vou deixar rodando e qualquer coisa bugzinho eu posto aqui... OBrigado =D - Original Message - From: Marcelo H. To: debian-user-portuguese@lists.debian.org Sent: Thursday, February 09, 2006 4:15 PM Subject: Re: Qmail com SMTP-auth deixando spammer entrar ola,tempos atras eu configurei o qmail + vpopmail com varios dominios virtuaiscoloquei tb um modulo adicional, smtp-auth acho..ele soh permite enviar emails de quem se autenticar no vpopmail..pra mandar email, precisa habilitar a opcao do outlook pra 'autenticar no servidor de saida' e 'usar mesmas configuracoes do servidor de entrada'.coisa assimnao sei se isso eh 'infalivel', mas reduziu bastante.os spam q tenho acompanhado trafegar no meu server, sao virus em maquinas de clientes q se autenticamainda nao pude arrumar o antivirus na saida dos emailseh isso...qualquer coisa, avisa ae.falowz (desculpa ae le punk, mas mandei errado o outro email hehehehhe)master_ <[EMAIL PROTECTED]> escreveu: Agora entendi o porquê deste empf... já tinha lido sua página também mas quando vi esse patch do jms achei que resolveria totalmente meus problemas.. o que não aconteceu..Vou recompilar agora com o empf depois posto o resultado aqui (ou as dúvidas hehe..)Muito obrigado!!!- Original Message - From: "Pruonckk le Punk" To: "master_" Cc: Sent: Thursday, February 09, 2006 3:35 PMSubject: Re: Qmail com SMTP-auth deixando spammer entrar> tem um patch chamado empf>> ele é a melhor opção para isso, pois ele vai forçar a autenticação se o> dominio for um dominio local, no caso do uol, para teu server, vai na> boa, mas do teu server para fora nao vai, e do teu server para teu> server tb não, então é bem legal>> http://www.inter7.com/?page=empf-install>> aqui um tutorial de qmail que eu fiz>> http://www.pruonckk.org/mediawiki/index.php/Qmail_HOWTO>>> Em Qui, 2006-02-09 às 15:31 -0200, master_ escreveu:>> Bom, não quis postar na lista pra ter mais um pouco de background antes >> de>> falar merda hehehe.. então pesquisei e percebi que a instalação do>> qmailrocks é bem insegura uma vez que o segundo patch aplicado derruba o>> AUTH. Onde achei isso? http://qmail.jms1.net EXCELENTE guia de qmail..>> explica muita coisa para os iniciantes.>> Mas agora eis uma dúvida que ainda não consegui sanar:>>>> Quando eu forço a autenticação AUTH, ninguém consegue enviar email para o>> meu servidor (o servidor recusa, dizendo que é necessário ``AUTH >> First``).>> Não tem como eu habilitar esse auth first só pra envio e não pra>> recebimento?>>>>>>>> obs.: Utilizei o seguinte patch para recompilar meu qmail:>> http://qmail.jms1.net/patches/combined-6b.shtml>> Então remoldei totalmente o run do smtpd para rodar com as novas >> variáveis>> (peguei o modelo no próprio site do JMS)>>>>>>>>>>>> ----- Original Message - >> From: "Pruonckk le Punk" >> To: >> Sent: Wednesday, February 08, 2006 9:07 AM>> Subject: Re: Qmail com SMTP-auth deixando spammer entrar>>>>>> > vou responder por partes>> >>> > Em Ter, 2006-02-07 às 19:09 -0200, master_ escreveu:>> >> Estou com problemas com o qmail. Segui as instruçoes do qmailrocks.org>> >> e tudo funciona blz. Quando fui ver os logs cheio de External smtp de>> >> spammers.>> >> O que já fiz:>> >>>> >> 1) Tentei limitar o rctphosts para meudominio.com.br só que os>> >> spammers estao utilizando emails aleatorios>> >> [EMAIL PROTECTED] . Como isso é possivel, já que eu possuo>> >> o smtp auth ?>> >>> > dominios locais, nao precisam se autenticar ( como disse no email>> > anterior, use o empf para forçar isso )>> >>> >> 2) Tentei fechar a porta 25 para smtp externo (já que só pessoas de>> >> dentro da minha rede 192.168.0.x vao utilizar) mas aí eu nao recebo>> >> nenhum email e também não recebo.>> >
Re: Squid+Iptables em máquinas diferentes
Eu tive esse problema também.. e percebi que tinha esquecido de configurar o squid.conf com os seguintes argumentos no final do arquivo...(configurei olhando http://www.guiadohardware.net/tutoriais/090/ que é um guia bem explicativo..) # Transparent proxy httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Porém, ao utilizar a soluçao como transparente, ainda não consegui fazer minhas ACLs de bloqueio funcionarem.. =/ liberou todas as paginas para todo mundo e só funcionaram as ACLs quando o iptables nao redirecionou, quando eu configurei direto nos browsers... Espero tê-lo ajudado.. Fábio - Original Message - From: "chmod000" <[EMAIL PROTECTED]> To: "Lista Debian" Sent: Thursday, February 09, 2006 4:26 PM Subject: Squid+Iptables em máquinas diferentes Oi pessoal, "ói eu novamente!" estou instalando um proxy na minha rede, porém a solução tem que ser transparente. Tenho uma máquina rodando iptables e instalei o squid em outra máquina. A máquina alpha, que tem o iptables, é meu roteador, e o charlie é o proxy. quero que quando os usuários acessem a internet, passem pelo proxy sem ter que configurar nada no browser. Situação atual: O proxy está rodando corretamente, tenho uma acl configurada para a minha rede e quando configuro o browser para utilizar o proxy, tudo funciona perfeitamente. Porém, quando boto o iptables para redirecionar todo o tráfego http para o proxy, não consigo navegar, passo a ser barrado no squid. essa é a mensagem de erro: ERROR The requested URL could not be retrieved While trying to retrieve the URL: http://www.google.com.br/ The following error was encountered: Access Denied. Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect. Your cache administrator is webmaster. E o iptables está assim: $IPTABLES -t nat -A PREROUTING -p tcp -i eth1 -s 0/0 --dport 80 -j DNAT --to-destination 192.168.1.9:3128 $IPTABLES -A FORWARD -p tcp -i eth1 -s 0/0 -d 192.168.1.9 --dport 3128 -j ACCEPT $IPTABLES -A FORWARD -p tcp -i eth1 -s 0/0 --sport 3128 -d 192.168.1.11/32 -j ACCEPT Existe luz no fim do túnel? -- []'s chmod000 "Microsoft butterfly is their way of telling you their system has a lot of @#$ bugs!" -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Qmail com SMTP-auth deixando spammer entrar
Agora entendi o porquê deste empf... já tinha lido sua página também mas quando vi esse patch do jms achei que resolveria totalmente meus problemas.. o que não aconteceu.. Vou recompilar agora com o empf depois posto o resultado aqui (ou as dúvidas hehe..) Muito obrigado!!! - Original Message - From: "Pruonckk le Punk" <[EMAIL PROTECTED]> To: "master_" <[EMAIL PROTECTED]> Cc: Sent: Thursday, February 09, 2006 3:35 PM Subject: Re: Qmail com SMTP-auth deixando spammer entrar tem um patch chamado empf ele é a melhor opção para isso, pois ele vai forçar a autenticação se o dominio for um dominio local, no caso do uol, para teu server, vai na boa, mas do teu server para fora nao vai, e do teu server para teu server tb não, então é bem legal http://www.inter7.com/?page=empf-install aqui um tutorial de qmail que eu fiz http://www.pruonckk.org/mediawiki/index.php/Qmail_HOWTO Em Qui, 2006-02-09 às 15:31 -0200, master_ escreveu: Bom, não quis postar na lista pra ter mais um pouco de background antes de falar merda hehehe.. então pesquisei e percebi que a instalação do qmailrocks é bem insegura uma vez que o segundo patch aplicado derruba o AUTH. Onde achei isso? http://qmail.jms1.net EXCELENTE guia de qmail.. explica muita coisa para os iniciantes. Mas agora eis uma dúvida que ainda não consegui sanar: Quando eu forço a autenticação AUTH, ninguém consegue enviar email para o meu servidor (o servidor recusa, dizendo que é necessário ``AUTH First``). Não tem como eu habilitar esse auth first só pra envio e não pra recebimento? obs.: Utilizei o seguinte patch para recompilar meu qmail: http://qmail.jms1.net/patches/combined-6b.shtml Então remoldei totalmente o run do smtpd para rodar com as novas variáveis (peguei o modelo no próprio site do JMS) - Original Message - From: "Pruonckk le Punk" <[EMAIL PROTECTED]> To: Sent: Wednesday, February 08, 2006 9:07 AM Subject: Re: Qmail com SMTP-auth deixando spammer entrar > vou responder por partes > > Em Ter, 2006-02-07 às 19:09 -0200, master_ escreveu: >> Estou com problemas com o qmail. Segui as instruçoes do qmailrocks.org >> e tudo funciona blz. Quando fui ver os logs cheio de External smtp de >> spammers. >> O que já fiz: >> >> 1) Tentei limitar o rctphosts para meudominio.com.br só que os >> spammers estao utilizando emails aleatorios >> [EMAIL PROTECTED] . Como isso é possivel, já que eu possuo >> o smtp auth ? > > dominios locais, nao precisam se autenticar ( como disse no email > anterior, use o empf para forçar isso ) > >> 2) Tentei fechar a porta 25 para smtp externo (já que só pessoas de >> dentro da minha rede 192.168.0.x vao utilizar) mas aí eu nao recebo >> nenhum email e também não recebo. > > errado > >> 3) Liberei o relay apenas para o meu range inválido de IPs >> obs.: meu tcp.smtp é o seguinte: >> -- >> 192.168.0.:allow,RELAYCLIENT="" >> :allow > > > errado, coloque apenas > 127.:allow,RELAYCLIENT="" > > apenas isso no tcp.smtp, com isso, se o usuario se autenticar, ele pode > enviar > >> -- >> 4) Instalei o rblsmtpd para utilizar blacklists > > isso ajuda um pouco, mas não é tudo > >> 5) Procurei inúmeras soluções no google e o que eu estou quase fazendo >> é o SMTP depois de POP3. Porém, se o smtp auth também não funciona, >> acho que estaria perdendo tempo aí. >> > > eu pessoalmente não gosto desta solução, use o smtp autenticado, será > mais simples, o teu problema não acabara usando pop befor smtp, a unica > solução que conheço para o teu problema, é o patch empf da inter7 > >> Peço a ajuda de vcs pq não quero ver meu ip em blacklists !! > > eu entendo isso > >> >> Obrigado a todos! > -- > Pruonckk le Punk > > http://www.debianfordummies.org > Porque o linux é para todos! > > > -- > To UNSUBSCRIBE, email to > [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > -- Pruonckk le Punk http://www.debianfordummies.org Porque o linux é para todos! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Qmail com SMTP-auth deixando spammer entrar
Bom, não quis postar na lista pra ter mais um pouco de background antes de falar merda hehehe.. então pesquisei e percebi que a instalação do qmailrocks é bem insegura uma vez que o segundo patch aplicado derruba o AUTH. Onde achei isso? http://qmail.jms1.net EXCELENTE guia de qmail.. explica muita coisa para os iniciantes. Mas agora eis uma dúvida que ainda não consegui sanar: Quando eu forço a autenticação AUTH, ninguém consegue enviar email para o meu servidor (o servidor recusa, dizendo que é necessário ``AUTH First``). Não tem como eu habilitar esse auth first só pra envio e não pra recebimento? obs.: Utilizei o seguinte patch para recompilar meu qmail: http://qmail.jms1.net/patches/combined-6b.shtml Então remoldei totalmente o run do smtpd para rodar com as novas variáveis (peguei o modelo no próprio site do JMS) - Original Message - From: "Pruonckk le Punk" <[EMAIL PROTECTED]> To: Sent: Wednesday, February 08, 2006 9:07 AM Subject: Re: Qmail com SMTP-auth deixando spammer entrar vou responder por partes Em Ter, 2006-02-07 às 19:09 -0200, master_ escreveu: Estou com problemas com o qmail. Segui as instruçoes do qmailrocks.org e tudo funciona blz. Quando fui ver os logs cheio de External smtp de spammers. O que já fiz: 1) Tentei limitar o rctphosts para meudominio.com.br só que os spammers estao utilizando emails aleatorios [EMAIL PROTECTED] . Como isso é possivel, já que eu possuo o smtp auth ? dominios locais, nao precisam se autenticar ( como disse no email anterior, use o empf para forçar isso ) 2) Tentei fechar a porta 25 para smtp externo (já que só pessoas de dentro da minha rede 192.168.0.x vao utilizar) mas aí eu nao recebo nenhum email e também não recebo. errado 3) Liberei o relay apenas para o meu range inválido de IPs obs.: meu tcp.smtp é o seguinte: -- 192.168.0.:allow,RELAYCLIENT="" :allow errado, coloque apenas 127.:allow,RELAYCLIENT="" apenas isso no tcp.smtp, com isso, se o usuario se autenticar, ele pode enviar -- 4) Instalei o rblsmtpd para utilizar blacklists isso ajuda um pouco, mas não é tudo 5) Procurei inúmeras soluções no google e o que eu estou quase fazendo é o SMTP depois de POP3. Porém, se o smtp auth também não funciona, acho que estaria perdendo tempo aí. eu pessoalmente não gosto desta solução, use o smtp autenticado, será mais simples, o teu problema não acabara usando pop befor smtp, a unica solução que conheço para o teu problema, é o patch empf da inter7 Peço a ajuda de vcs pq não quero ver meu ip em blacklists !! eu entendo isso Obrigado a todos! -- Pruonckk le Punk http://www.debianfordummies.org Porque o linux é para todos! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Qmail com SMTP-auth deixando spammer entrar
Estou com problemas com o qmail. Segui as instruçoes do qmailrocks.org e tudo funciona blz. Quando fui ver os logs cheio de External smtp de spammers. O que já fiz: 1) Tentei limitar o rctphosts para meudominio.com.br só que os spammers estao utilizando emails aleatorios [EMAIL PROTECTED] . Como isso é possivel, já que eu possuo o smtp auth ? 2) Tentei fechar a porta 25 para smtp externo (já que só pessoas de dentro da minha rede 192.168.0.x vao utilizar) mas aí eu nao recebo nenhum email e também não recebo. 3) Liberei o relay apenas para o meu range inválido de IPs obs.: meu tcp.smtp é o seguinte: -- 192.168.0.:allow,RELAYCLIENT="" :allow -- 4) Instalei o rblsmtpd para utilizar blacklists 5) Procurei inúmeras soluções no google e o que eu estou quase fazendo é o SMTP depois de POP3. Porém, se o smtp auth também não funciona, acho que estaria perdendo tempo aí. Peço a ajuda de vcs pq não quero ver meu ip em blacklists !! Obrigado a todos!
Qmail com SMTP-auth deixando spammers entrar
Estou com problemas com o qmail. Segui as instruçoes do qmailrocks.org e tudo funciona blz. Quando fui ver os logs cheio de External smtp de spammers. O que já fiz: 1) Tentei limitar o rctphosts para meudominio.com.br só que os spammers estao utilizando emails aleatorios [EMAIL PROTECTED] . Como isso é possivel, já que eu possuo o smtp auth ? 2) Tentei fechar a porta 25 para smtp externo (já que só pessoas de dentro da minha rede 192.168.0.x vao utilizar) mas aí eu nao recebo nenhum email e também não recebo. 3) Liberei o relay apenas para o meu range inválido de IPs obs.: meu tcp.smtp é o seguinte: -- 192.168.0.:allow,RELAYCLIENT="" :allow -- 4) Instalei o rblsmtpd para utilizar blacklists 5) Procurei inúmeras soluções no google e o que eu estou quase fazendo é o SMTP depois de POP3. Porém, se o smtp auth também não funciona, acho que estaria perdendo tempo aí. Peço a ajuda de vcs pq não quero ver meu ip em blacklists !! Obrigado a todos!
Squid nao bloqueia como proxy transparente ??
Estou com problemas no bloqueio de páginas pelo squid. Configurei seguindo um tutorial do guia do hardware, porém só funciona o bloqueio quando eu configuro o browser para utilizar o squid ! Quando eu deixo agir o proxy transparente, os bloqueios não funcionam, liberando todas as páginas. Será que a única solução seria eu bloquear pelo iptables para não deixar ninguém navegar quando tirassem o proxy na porta do squid de seus respectivos browsers, tirando a função do proxy transparente? Segue meu squid.conf: http_port 3128visible_hostname xxx cache_mem 32 MBmaximum_object_size_in_memory 64 KBmaximum_object_size 512 MBminimum_object_size 0 KBcache_swap_low 90cache_swap_high 95cache_dir ufs /var/spool/squid 2048 16 256cache_access_log /var/log/squid/access.logrefresh_pattern ^ftp: 15 20% 2280refresh_pattern ^gopher: 15 0% 2280refresh_pattern . 15 20% 2280 acl all src 0.0.0.0/0.0.0.0acl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl Safe_ports port 901 # SWATacl purge method PURGEacl CONNECT method CONNECT http_access allow manager localhosthttp_access deny managerhttp_access allow purge localhosthttp_access deny purgehttp_access deny !Safe_portshttp_access deny CONNECT !SSL_ports acl proibidos dstdom_regex "/etc/squid/proibidos"http_access deny proibidos acl bloqueados dstdomain orkut.com www.orkut.com playboy.abril.com.br http_access deny bloqueados acl redelocal src 192.168.1.0/24http_access allow localhosthttp_access allow redelocal http_access deny all httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header on OBrigado !
Iptables: meu script (e algumas dúvidas)
Bom galera gostaria que vcs criticassem meu script de firewall. Vou explicar o que eu quis fazer: Nesse servidor roda qmail(+acessorios)+apache+squid. Quis fazê-lo o mais restritivo possível e ir liberando somente o necessário (25, 110, 80 para entrantes e mascarar somente algumas para a rede) Segue o script: INICIO DO SCRIPT # POLICY ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" >/proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" > /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Todo tráfego vindo da rede interna também é aceitoiptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT # Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo. iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPTiptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-inputiptables -A int-input -p icmp -j ACCEPT # Primeiro aceitamos o tráfego vindo da Internet para as portas 80, 110, 25iptables -A int-input -p tcp --dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT Tabela nat # Redir do SQUIDiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Ativando mascaramento para determinadas portas iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADE -- FIM DO SCRIPT Minhas dúvidas: 1) A policy [iptables -t nat -P POSTROUTING ACCEPT ] deixa o firewall muito peneira? tentei deixar em DROP e liberar somente algumas coisas mas parecia que dava conflitos de regras. 2) Por que, se eu liberei somente algumas portas para masquerade, o msn continua funcionando? (pensei que talvez o maldito funcione em porta 80, caso nao encontre sua porta específica) 3) O firewall está realmente restritivo? Ou está uma merda? hehe Não tenho muita experiência em segurança, mas li muito a respeito pra tentar fazer o melhor possível (guia foca - iptables, google com vários exemplos de scripts) porém, precisava da opinião de vocês e de uma ajuda pra dar uma melhorada já que muitos têm uma experiência grande nisso. Obrigado!!