LINUX.ORG.RU
ФорумAdmin

iptables

 


0

1

С добрвм днем. Такая ситуация. Почтовый сервер на ubuntu 18 (iRedMail) В логах imap обнаружил подключение с IP майл.рушных:

Jun 15 06:33:39 mail dovecot: imap-login: Login: user=<a@a.ru>, method=PLAIN, rip=94.100.178.104, lip=85.53.72.131, mpid=1947, TLS, TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits), session=<b3C/FxeoBSleZLJo>

решил заблокировать. Внес правила с диапазонами в iptables

1    DROP       all  --  0.0.0.0/0            0.0.0.0/0            source IP range 5.61.236.0-5.61.237.255
2    DROP       all  --  0.0.0.0/0            0.0.0.0/0            source IP range 94.100.0.1-94.100.255.255

все равно пользователи с mail.ru почту собирают, но в логах теперь:

Jun 19 09:28:29 mail dovecot: imap-login: Login: user=<a@a.ru>, method=LOGIN, rip=127.0.0.1, lip=127.0.0.1, mpid=12990, secured, session=<jGdcAGqoIJ1/AAAB>

Как закрыть mail.ru серверам доступ к моему почтовику совсем?



Последнее исправление: ExplorerSpb (всего исправлений: 1)

web-интерфейс доступен?

Такой коннект дает локальный процесс типа веб-интерфейса или прокси-сервер

vel ★★★★★
()
Ответ на: комментарий от ExplorerSpb

А зачем ты все коннекты запретил? Входящие нужно было обрубать.

IMHO у маил.ру блоков адресов больше чем две сети /24. Ты их забанил видимо только частично.

Посмотри как mail.ru забирает почту.

А с коннектами со 127.0.0.1 нужно разбираться через что эти коннекты выполняются.

vel ★★★★★
()

rip=127.0.0.1, lip=127.0.0.1

Вот эта строчка в логах говорит о том, что пользователь a@a.ru логинится локально (через web-интерфейс?). Причем тут mail.ru, непонятно.

2 DROP all  — 0.0.0.0/0 0.0.0.0/0 source IP range 94.100.0.1-94.100.255.255

Получилась такая штука, что письма с mail.ru не приходят

Логично. Нужно было хотя бы 25 порт оставить открытым для того, чтобы письма приходили. Хотя лично мне вообще непонятна идея подобных ограничений. У Вас же авторизация по логину и паролю? Следовательно, пользователи сами настраивали сбор почты на ящики в mail.ru. Если по каким-то причинам это недопустимо, проведите работу с пользователями. Или вообще закройте внешний доступ на imap и pop3. А заодно и доступ на web-интерфейс (тем, кому нужен удаленный доступ к почте, пусть туннель кидают).

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

rip=127.0.0.1, lip=127.0.0.1 Это я логинился со сборщика почты mail.ru на мобильном телефоне. Думаю надо копать не в iptables а в file2ban Закрывать не mail.ru, а авторизацию с mail.ru WEB интерфейс руководство хочет тоже оставить.

ExplorerSpb
() автор топика
Ответ на: комментарий от ExplorerSpb

rip=127.0.0.1, lip=127.0.0.1 Это я логинился со сборщика почты mail.ru на мобильном телефоне.

Как-то это странно. Надо смотреть, как этот сборщик работает.

Думаю надо копать не в iptables а в file2ban

И как Вам поможет file2ban? он же только множественные попытки отсекает. А у Вас, насколько я понимаю, сборщики успешно логинятся с первой попытки.

закрывать не mail.ru, а авторизацию с mail.ru

Для этого достаточно закрыть порты imap, pop3, imaps и pop3s.

WEB интерфейс руководство хочет тоже оставить.

Ну так ограничьте доступ к нему локальной сетью. Кому нужна почта удаленно, пусть поднимают туннели до локальной сети.

Serge10 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin