Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Blokowanie portu [1043 + gargoyle]
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
witam,
najlepszego w Nowym Roku!
potrzebuję zablokować jeden z portów (LAN->WAN), bezpośrednio w gargoyle chyba tego zrobić nie można, czy jest to możliwe?
Jeśli tak to jak, czy coś muszę doinstalować?
Pozdrawiam
Dopóki nie wydzielisz go na osobny interfejs to nie możesz tego zrobić. Chyba że chodzi o blokadę określonego ip/mac, wtedy po prostu go zablokuj.
óki nie wydzielisz go na osobny interfejs to nie możesz tego zrobić. Chyba że chodzi o blokadę określonego ip/mac, wtedy po prostu go zablokuj.
nie do końca rozumiem (moje braki w wiedzy)
chcę zablokować określony port (dokładniej 25) bo mam w sieci trojana/wirusa/inne badziewie rozszyłające spam - i mimo prób usunięcia tego czegoś z systemu czasami dostaję info o rozszyłaniu spamu.
pomysł (do czasu ubicia tego czegoś co rozsyła) jest taki żeby zablokować port 25 a pocztę przenieść na 587 - przynajmniej nie będę spamował.
komputerów w sieci jest raptem kilka, w dodatku wszystkie o stałym IP, więc mogę je poblokować, ale chodzi mi tylko o jeden port..
chyba, że "wydzielenie go na osobny interfejs" nie jest jakoś mocno skomplikowane...?
Na eko.one.pl masz opisane jak blokować dostęp. http://eko.one.pl/?p=openwrt-konfigurac … ointernetu
zamiast ip podajesz --dport XX
Na eko.one.pl masz opisane jak blokować dostęp. http://eko.one.pl/?p=openwrt-konfigurac … ointernetu
zamiast ip podajesz --dport XX
(trochę odgrzewam)
w podanym przykładzie jest polecenie dopisania komendy do pliku firewall.user
na próbę wpisałem w terminalu komendę:
iptables -I FORWARD -i br0 --dport 25 -j DROPale otrzymałem info o nieznanej opcji "--dport" -> więc w pliku pewnie nie zadziała tak samo..
9polecenie ściągnięte z innego forum, nie znam tego - działanie trochę na "małpę")
jest szansa na pomoc?
dzięki..
-p protokół jeszcze musisz podać.
(ale szybka reakcja - szok)
Czy pełna komenda powinna wyglądać:
iptables -I FORWARD -i br0 --dport 25 -p tcp -j DROP(zakładając, że tak):
czy wydanie komendy (j.w.) powoduje blokowanie portu do czasu restartu urządzenia, a dopisanie jej do pliku firewall.user powoduje jej każdorazowe uruchomienie po restarcie (więc działa "cały czas")?
Dokładnie tak jak napisałeś. Ale...
W openwrt nie ma br0. br-lan jest. Poczta to nie tylko 25, chyba że chcesz tylko głupie wirusy zablokować (wtedy raczej cały ruch dla hosta wycinaj).
Dokładnie tak jak napisałeś. Ale...
W openwrt nie ma br0. br-lan jest. Poczta to nie tylko 25, chyba że chcesz tylko głupie wirusy zablokować (wtedy raczej cały ruch dla hosta wycinaj).
(dla upewnienia się komenda):
iptables -I FORWARD -i br-lan --dport 25 -p tcp -j DROP(w br-lan nie ma spacji)
priorytet to właśnie wirusy, ale: czy "głupie" oznaczają głupie bo spamują, czy głupie to tylko ta część która korzysta z portu 25, a są już "mądre" które szukają niezablokowanych portów?
No właśnie mało inteligentne próbują się wbijać tylko na 25.
No właśnie mało inteligentne próbują się wbijać tylko na 25.
cały czas problem z --dport..:
----------------------------------------------------------------
| |
| Gargoyle 1.5.2 |
| Wersja Gargoyle: 66e29f3 |
| OpenWrt Backfire 10.03.1 |
| Wersja OpenWrt: 29608 |
| Zbudowano: 2011-12-27 23:26 CET |
| |
| Cezary Jackiewicz (obsy), [url]http://eko.one.pl[/url] |
| |
----------------------------------------------------------------
root@Gargoyle-biuro:~$ iptables -I FORWARD -i br-lan --dport 25 -p tcp -j DROP
iptables v1.4.6: unknown option `--dport'
Try `iptables -h' or 'iptables --help' for more information.
root@Gargoyle-biuro:~$iptables -I FORWARD -i br-lan -p tcp --dport 25 -j DROP
Akurat w tym przypadku kolejność ma znaczenie.
Akurat w tym przypadku kolejność ma znaczenie.
teraz komenda wykonana bez błędu.
Ale: po wykonaniu przestawiłem klienta (outlook) z powrotem na port 25 dla poczty wychodzącej i wiadomość została wysłana.
tak, jakby port nie był zablokowany...
A teraz inne pytanie: nikt nie wie jak masz, jak to skonfigurowałeś i jak jesteś połączony. Pytałeś się o regułę. Ile osób zgadnie co źle zrobiłeś jeżeli nikt nie ma pojęcia jak jesteś podłączony?
A teraz inne pytanie: nikt nie wie jak masz, jak to skonfigurowałeś i jak jesteś połączony. Pytałeś się o regułę. Ile osób zgadnie co źle zrobiłeś jeżeli nikt nie ma pojęcia jak jesteś podłączony?
Aha, to przepraszam. Myślałem (nie będę ukrywał, że specem nie jestem:) że jak zablokuję ten port na routerze to nic (w sensie komputer lub inne urządzenie) w sieci LAN na tym porcie nic nie wyśle.
Co mogę napisać, żeby rozwiązać mój problem?
Sieć jest bardzo "typowa": sygnał z zewnątrz na router, z tamtąd na switch i do poszczególnych komputerów/urządzeń. Stałe IP od strony WAN i stałe adresy w LAN (ale serwer DHCP działa).
Cel: zablokowanie możliwości złośliwemu oprogramowaniu (którego chyba nie udało mi się całkowicie wyplenić) rozszyłania spamu z któregoś z komputerów w LAN.
Konfiguracji routera właściwie nie było (ustawienie hasła dla WIFI, ustawienie hasła dla roota, przekierowanie kilku portów (dla połączeń przychodzących) - to chyba wszystko.
jeśli mogę to jakoś uzupełnić - muszę tylko wiedzieć co..
Powyższa reguła jest wystarczająca. Blokuje one transfer na port 25, co możesz prosto sprawdzić telnetem.
Powyższa reguła jest wystarczająca. Blokuje one transfer na port 25, co możesz prosto sprawdzić telnetem.
A czy to, że outlook może wysłać maila (bo to chcę zablokować) nie znaczy że spambot też może?
chyba, że outlook pomimo ustawienia SMTP na port 25 potrafi to obejść?
Nie mam pojęcia czy outlook tak robi. Możesz sobie uruchomić tcpdumpa na routerze i zobaczyć jakie pakiety idą.
Nie mam pojęcia czy outlook tak robi. Możesz sobie uruchomić tcpdumpa na routerze i zobaczyć jakie pakiety idą.
W outlooku jedno z kont przestawiam na działanie na porcie 25 (dokładniej chodzi o konto w home.pl). z tego konta wysyłam maila na konto na gmail.com (lub inne, prowadzone w ramach innej domeny niż home.pl). Mail dochodzi - stąd mój domysł, że mail jest wysłany (przeszedł na porcie 25 w kierunki LAN->WAN).
Nie wiem czy może to być istotne, ale wysyłanie i odbieranie maila odbywa się na komputerze za routerem (w lokalnej - w outlooku)...
Tak, za routerem. Tego łańcuch FORWARD właśnie dotyczy.
PS. Zablokuj w ten sposób port 80 i zobaczy czy do www się dostaniesz.
Tak, za routerem. Tego łańcuch FORWARD właśnie dotyczy.
PS. Zablokuj w ten sposób port 80 i zobaczy czy do www się dostaniesz.
przepraszam, nie zrozumiałem.
Na mój chłopski rozum działa to tak (ez blokady)
Komputer w LAN - przez port 25 na routerze ->serwer pocztowy w WAN
(ściąganie poczty w odwrotnym kierunku i na porcie 110)
Jeśli port 25 jest zablokowany dla wychodzących to komputer w LAN nie może połączyć się z serwerem pocztowym w WAN (bo drzwiczki nr 25 zamknięte).
I żeby wysłać sobie od siebie maila (o jednego serwera pocztowego WAN do drugiego drzwiczki muszą być otwarte.
Inaczej - po zamknięciu portu oczekiwałem przy wysyłaniu poczty komunikatu o niemożności połączenia się z serwerem poczty wychodzącej. A to sie nie stało - stąd mój frasunek..
Chyba że moje chłopskie myślenie jest całkowicie bez sensu...
?
Dokładnie tak.
Żeby zobaczyć czy taki typ reguły działa, zablokuj sobie port 80 - powinieneś mieć zablokowane www. Więc jeżeli tak będzie - to jednak outlook nie wysyła Ci przez 25.
wolałbym nie blokować portu 80 - nie ukrywam że się nie znam, mógłbym mieć problem z odblokowaniem (chociaż wydaje mi się, że reset urządzenia pomógłby..)
ale wracając: jak outlook może wysłać cokolwiek, jeśli jest skonfigurowany na port 25, który jest zamknięty?
czy to mogą być jakieś mechanizmy wbudowane w software, które mają "pomóc" w takiej sytuacji? tylko po co wtedy konfiguracja portów?
z routerem na pewno nie mogę się połączyć telnetem na porcie 25 (connection refused..)
Raczej więc nie przestawiłeś w outlooku lub on to ignoruje.
miałem kiedyś taki przypadek. Klient ustawiony na port 587 wysyłam maila i zonk. Wkurzam się szukam problemu i nic. robię telnet na 587 i nic. Patrze w log a tu na 25.
Finał taki, że głupi antywirus w tym wypadku avast mimo, że łączyłem się na 587 próbował usilnie na 25 zapukać do serwera. Bo przecież musi skanować maile i mieć wszystko pod kontrolą.
Wyłączyłem skanowanie poczty wychodzącej i było już ok.
Morał z tego taki, że nie wszystkie błędy są wina routera i firewalla na nim
A wracając do tematu
poczta to nie tylko port 25
to również dla smtp
25
465
587
dla pop3
110
995
dla imap
143
993
na routerze możesz zablokować uogólniając porty na dwa sposoby
-pierwszy blokuje dostęp do portów na routerze i TYLKO dostęp do routera - łańcuch INPUT/OUTPUT
-drugi blokuje dostęp do portów przekazywanych przez router - łańcuch FORWARD
jedno nie wyklucza drugiego. Czyli możesz chcieć zablokować port 25 dla FORWARD (przekazywanie przez router pakietów)
ale jednocześnie chcesz aby do routera można było się dostać na port 25 INPUT (np. masz na routerze swój serwer smtp)
Blokowanie portu 25 dls FORWARD uważam za zdrowe. Ten port powinien być wyłącznie do przekazywania poczty miedzy serwerami. Dla klientów poczty typu outlook pozostały porty 465 oraz 587
Dlatego większość operatorów dla dostępu do internetu niekomercyjnego (neostrada itp.) blokuje z automatu port 25 do internetu od klienta.
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Blokowanie portu [1043 + gargoyle]
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc