Re: [FUG-BR] ataque na porta 25 do qmail
Luis, Segue a referência http://www.openbsd.org/faq/pf/pt/filter.html#stateopts Wesley Miranda FreeBSD Consult www.freebsdconsult.com.br - Original Message - From: "Grupo FUG FUG" To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Monday, August 03, 2009 9:28 AM Subject: Re: [FUG-BR] ataque na porta 25 do qmail Olá Wesley Vi que você passou essa regra e estava estudando ela para poder implantar e fiquei com uma dúvida table persist block in quick from pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 10, max-src-conn-rate 5/5, overload flush) Onde temos $ext_inf e $web_server eu coloco a interfece referente ao ip do meu servidor para os dois ou é diferente disso. Obrigado, Luís 2009/7/17 Wesley Miranda > Caso utilize ipfw ou PF limita a porta 25 a quantidade de ips por exemplo: > PF > > table persist > block in quick from > > pass in on $ext_if proto tcp to $web_server \ >port www flags S/SA keep state \ >(max-src-conn 10, max-src-conn-rate 5/5, overload flush) > > Seria uma das soluções. > Abraço > > Wesley Miranda > FreeBSD Consult > www.freebsdconsult.com.br > - Original Message - > From: "Grupo FUG FUG" > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Wednesday, July 15, 2009 9:54 AM > Subject: [FUG-BR] ataque na porta 25 do qmail > > > Bom dia lista, > > Não sei se alguém esta passando o mesmo problema que eu aqui, estamos > tendo > uma acesso axaustivo na porta 25 por diversos IPs a um usuário que nem > esta > cadastrado no servidor de e-mail, com isso a porta 25 fica congestionada. > Segue um log. > > Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.187.21.152 > Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not found > s...@.com.br:189.18.200.12 > Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.187.21.152 > Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not found > s...@.com.br:189.18.200.12 > Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not found > s...@.com.br:189.18.200.12 > Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.49.47.164 > Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.134.36.113 > Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not found > s...@.com.br:94.90.112.208 > Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.226.45.210 > > > E vem de inumeros Ips diferentes, podem ver que o s...@.com.br é o > usuário que esses IPs estão tentando usar para enviar e-mails, mais mesmo > sem sucesso as tentativas estão congestionando a porta 25 e não deixando > quem realmente precisa enviar os e-mails > Alguém ja passou por isso e poderia indicar uma forma de se proteger desse > "ataque" > > Obrigado, > > Luís > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ataque na porta 25 do qmail
Olá Wesley Vi que você passou essa regra e estava estudando ela para poder implantar e fiquei com uma dúvida table persist block in quick from pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 10, max-src-conn-rate 5/5, overload flush) Onde temos $ext_inf e $web_server eu coloco a interfece referente ao ip do meu servidor para os dois ou é diferente disso. Obrigado, Luís 2009/7/17 Wesley Miranda > Caso utilize ipfw ou PF limita a porta 25 a quantidade de ips por exemplo: > PF > > table persist > block in quick from > > pass in on $ext_if proto tcp to $web_server \ >port www flags S/SA keep state \ >(max-src-conn 10, max-src-conn-rate 5/5, overload flush) > > Seria uma das soluções. > Abraço > > Wesley Miranda > FreeBSD Consult > www.freebsdconsult.com.br > - Original Message - > From: "Grupo FUG FUG" > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Wednesday, July 15, 2009 9:54 AM > Subject: [FUG-BR] ataque na porta 25 do qmail > > > Bom dia lista, > > Não sei se alguém esta passando o mesmo problema que eu aqui, estamos tendo > uma acesso axaustivo na porta 25 por diversos IPs a um usuário que nem esta > cadastrado no servidor de e-mail, com isso a porta 25 fica congestionada. > Segue um log. > > Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.187.21.152 > Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not found > s...@.com.br:189.18.200.12 > Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.187.21.152 > Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not found > s...@.com.br:189.18.200.12 > Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not found > s...@.com.br:189.18.200.12 > Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.49.47.164 > Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.134.36.113 > Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not found > s...@.com.br:94.90.112.208 > Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not found > s...@.com.br:190.226.45.210 > > > E vem de inumeros Ips diferentes, podem ver que o s...@.com.br é o > usuário que esses IPs estão tentando usar para enviar e-mails, mais mesmo > sem sucesso as tentativas estão congestionando a porta 25 e não deixando > quem realmente precisa enviar os e-mails > Alguém ja passou por isso e poderia indicar uma forma de se proteger desse > "ataque" > > Obrigado, > > Luís > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ataque na porta 25 do qmail
Caso utilize ipfw ou PF limita a porta 25 a quantidade de ips por exemplo: PF table persist block in quick from pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 10, max-src-conn-rate 5/5, overload flush) Seria uma das soluções. Abraço Wesley Miranda FreeBSD Consult www.freebsdconsult.com.br - Original Message - From: "Grupo FUG FUG" To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, July 15, 2009 9:54 AM Subject: [FUG-BR] ataque na porta 25 do qmail Bom dia lista, Não sei se alguém esta passando o mesmo problema que eu aqui, estamos tendo uma acesso axaustivo na porta 25 por diversos IPs a um usuário que nem esta cadastrado no servidor de e-mail, com isso a porta 25 fica congestionada. Segue um log. Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.187.21.152 Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not found s...@.com.br:189.18.200.12 Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.187.21.152 Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not found s...@.com.br:189.18.200.12 Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not found s...@.com.br:189.18.200.12 Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.49.47.164 Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.134.36.113 Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not found s...@.com.br:94.90.112.208 Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.226.45.210 E vem de inumeros Ips diferentes, podem ver que o s...@.com.br é o usuário que esses IPs estão tentando usar para enviar e-mails, mais mesmo sem sucesso as tentativas estão congestionando a porta 25 e não deixando quem realmente precisa enviar os e-mails Alguém ja passou por isso e poderia indicar uma forma de se proteger desse "ataque" Obrigado, Luís - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] ataque na porta 25 do qmail
Bom dia lista, Não sei se alguém esta passando o mesmo problema que eu aqui, estamos tendo uma acesso axaustivo na porta 25 por diversos IPs a um usuário que nem esta cadastrado no servidor de e-mail, com isso a porta 25 fica congestionada. Segue um log. Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.187.21.152 Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not found s...@.com.br:189.18.200.12 Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.187.21.152 Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not found s...@.com.br:189.18.200.12 Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not found s...@.com.br:189.18.200.12 Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.49.47.164 Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.134.36.113 Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not found s...@.com.br:94.90.112.208 Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not found s...@.com.br:190.226.45.210 E vem de inumeros Ips diferentes, podem ver que o s...@.com.br é o usuário que esses IPs estão tentando usar para enviar e-mails, mais mesmo sem sucesso as tentativas estão congestionando a porta 25 e não deixando quem realmente precisa enviar os e-mails Alguém ja passou por isso e poderia indicar uma forma de se proteger desse "ataque" Obrigado, Luís - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd