LINUX.ORG.RU
ФорумAdmin

Почтовый сервер не запущен, но пакеты по 25 порту ходят


0

0

Добрый день. Неожиданно обнаружил, что даже когда не запущен почтовик, на порт 25 идут какие-то пакеты, и что удивило, мой сервер на них отвечает. . По идее, при поступлении пакета на порт на котором нет слушающих служб мой сервер должен ответить пакетом icmp что данный порт недоступен. Но ответ идет также по tcp. Вот фрагмент лога tcpdump

58.8.211.61.5896 > my_mail_server.25: S 1238852443:1238852443(0) win 65535 <mss 1360,nop,wscale 0,nop,nop,sackOK> (DF)
my_mail_server.25 > 58.8.211.61.5896: R 0:0(0) ack 1238852444 win 0
58.8.211.61.5896 > my_mail_server.25: S 1238852443:1238852443(0) win 65535 <mss 1360,nop,wscale 0,nop,nop,sackOK> (DF)
my_mail_server.25 > 58.8.211.61.5896: R 0:0(0) ack 1238852444 win 0
58.8.211.61.5896 > my_mail_server.25: S 1238852443:1238852443(0) win 65535 <mss 1360,nop,wscale 0,nop,nop,sackOK> (DF)
my_mail_server.25 > 58.8.211.61.5896: R 0:0(0) ack 1238852444 win 0

58.72.253.10.33101 > my_mail_server.25: S 3183802078:3183802078(0) win 32768 <mss 1300,nop,nop,sackOK> (DF)
my_mail_server.25 > 58.72.253.10.33101: R 0:0(0) ack 3183802079 win 0
58.72.253.10.33101 > my_mail_server.25: S 4088357717:4088357717(0) win 32768 <mss 1300,nop,nop,sackOK> (DF)
my_mail_server.25 > 58.72.253.10.33101: R 0:0(0) ack 4088357718 win 0

202.101.70.218.27890 > my_mail_server.25: S 2957548662:2957548662(0) win 16384 <mss 1440,nop,wscale 3,nop,nop,timestamp 0 0,nop,nop,sackOK> (DF)
my_mail_server.25 > 202.101.70.218.27890: R 0:0(0) ack 2957548663 win 0
202.101.70.218.27890 > my_mail_server.25: S 2957548662:2957548662(0) win 16384 <mss 1440,nop,wscale 3,nop,nop,timestamp 0 0,nop,nop,sackOK> (DF)
my_mail_server.25 > 202.101.70.218.27890: R 0:0(0) ack 2957548663 win 0
202.101.70.218.27890 > my_mail_server.25: S 2957548662:2957548662(0) win 16384 <mss 1440,nop,wscale 3,nop,nop,timestamp 0 0,nop,nop,sackOK> (DF)
my_mail_server.25 > 202.101.70.218.27890: R 0:0(0) ack 2957548663 win 0
202.101.70.218.16717 > my_mail_server.25: S 2251695644:2251695644(0) win 16384 <mss 1440,nop,wscale 3,nop,nop,timestamp 0 0,nop,nop,sackOK> (DF)
my_mail_server.25 > 202.101.70.218.16717: R 0:0(0) ack 2251695645 win 0
202.101.70.218.16717 > my_mail_server.25: S 2251695644:2251695644(0) win 16384 <mss 1440,nop,wscale 3,nop,nop,timestamp 0 0,nop,nop,sackOK> (DF)
my_mail_server.25 > 202.101.70.218.16717: R 0:0(0) ack 2251695645 win 0


Не могу понять почему от моего сервера идет ответ и как на фаерволе отделить эти нежелательные входящие пакеты от работы нормальных почтовых серверов.

anonymous

Ответ на: комментарий от anonymous

iptables перенаправляет (DNAT) пакеты на др. сервер?

Мало информации. Глупо предполагать, что ничего нет, а оно работает.
Ищи.

sdio ★★★★★
()
Ответ на: комментарий от sdio

в том то и дело что ничего такого нет. пакеты входящие. . чем еще можно получить информацию про эти пакеты ?

anonymous
()
Ответ на: комментарий от anonymous

К тому же мой сервак отвечает на пакеты, а не пересылает их. файерволом такое вроде не сделать

anonymous
()
Ответ на: комментарий от anonymous

смотря, что подразумевать под словом "фаервол"... какие правила iptables?

Marmirus ★★
()
Ответ на: комментарий от sdio

Попробовал на другом серваке. ASPLinux 12.1 Остановил почтовик, и почти все службы С локальной машины несколько раз сделал telnet myserver 25 и каждый раз пробегало по 2 пакета. tcpdump -i eth0 -ptnS port 25 listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

IP mylocal.4170 > myl_mail_server.smtp: S 273442509:273442509(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK> IP myl_mail_server.smtp > mylocal.4170: R 0:0(0) ack 273442510 win 0 IP mylocal.4170 > myl_mail_server.smtp: S 273442509:273442509(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK> IP myl_mail_server.smtp > mylocal.4170: R 0:0(0) ack 273442510 win 0

И хотя здесь стоит iptables, а не ipchains -синтомы похожи . Похоже так и должно быть

anonymous
()

Может, руткит? Сделали из тебя очередного spam-zombie?

Anoxemian ★★★★★
()
Ответ на: комментарий от mky 

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
eth1_in    all  --  0.0.0.0/0            0.0.0.0/0
eth0_in    all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Reject     all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:'
reject     all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)
target     prot opt source               destination
eth1_fwd   all  --  0.0.0.0/0            0.0.0.0/0
eth0_fwd   all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Reject     all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:'
reject     all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy DROP)
target     prot opt source               destination
eth1_out   all  --  0.0.0.0/0            0.0.0.0/0
eth0_out   all  --  0.0.0.0/0            0.0.0.0/0
fw2fw      all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Reject     all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:OUTPUT:REJECT:'
reject     all  --  0.0.0.0/0            0.0.0.0/0

Chain Drop (3 references)
target     prot opt source               destination
reject     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:113
dropBcast  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3 code 4
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11
dropInvalid  all  --  0.0.0.0/0            0.0.0.0/0
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 135,445
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137 dpts:1024:65535
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 135,139,445
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1900
dropNotSyn  tcp  --  0.0.0.0/0            0.0.0.0/0
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53

anonymous
()
Ответ на: комментарий от anonymous 

Chain Reject (6 references)
target     prot opt source               destination
reject     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:113
dropBcast  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3 code 4
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11
dropInvalid  all  --  0.0.0.0/0            0.0.0.0/0
reject     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 135,445
reject     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
reject     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137 dpts:1024:65535
reject     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 135,139,445
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1900
dropNotSyn  tcp  --  0.0.0.0/0            0.0.0.0/0
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53

Chain all2all (0 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Reject     all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:all2all:REJECT:'
reject     all  --  0.0.0.0/0            0.0.0.0/0

Chain dropBcast (2 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
DROP       all  --  0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast

Chain dropInvalid (2 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID

Chain dropNotSyn (2 references)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02

Chain dynamic (4 references)
target     prot opt source               destination

Chain eth0_fwd (1 references)
target     prot opt source               destination
dynamic    all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
smurfs     all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
tcpflags   tcp  --  0.0.0.0/0            0.0.0.0/0
loc2net    all  --  0.0.0.0/0            0.0.0.0/0

Chain eth0_in (1 references)
target     prot opt source               destination
dynamic    all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
smurfs     all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
tcpflags   tcp  --  0.0.0.0/0            0.0.0.0/0
loc2fw     all  --  0.0.0.0/0            0.0.0.0/0

Chain eth0_out (1 references)
target     prot opt source               destination
fw2loc     all  --  0.0.0.0/0            0.0.0.0/0

anonymous
()
Ответ на: комментарий от anonymous 

Chain eth1_fwd (1 references)
target     prot opt source               destination
dynamic    all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
smurfs     all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
tcpflags   tcp  --  0.0.0.0/0            0.0.0.0/0
net2loc    all  --  0.0.0.0/0            0.0.0.0/0

Chain eth1_in (1 references)
target     prot opt source               destination
dynamic    all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
smurfs     all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
tcpflags   tcp  --  0.0.0.0/0            0.0.0.0/0
net2fw     all  --  0.0.0.0/0            0.0.0.0/0

Chain eth1_out (1 references)
target     prot opt source               destination
fw2net     all  --  0.0.0.0/0            0.0.0.0/0

Chain fw2all (0 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Reject     all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:fw2all:REJECT:'
reject     all  --  0.0.0.0/0            0.0.0.0/0

Chain fw2fw (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain fw2loc (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain fw2net (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain loc2all (0 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Reject     all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:loc2all:REJECT:'
reject     all  --  0.0.0.0/0            0.0.0.0/0

Chain loc2fw (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:465
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

anonymous
()
Ответ на: комментарий от anonymous 

Chain loc2net (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain logdrop (0 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:logdrop:DROP:'
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain logflags (5 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:logflags:DROP:'
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain logreject (0 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:logreject:REJECT:'
reject     all  --  0.0.0.0/0            0.0.0.0/0

Chain net2all (0 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Drop       all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:net2all:DROP:'
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain net2fw (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:465
Drop       all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:net2fw:DROP:'
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain net2loc (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Drop       all  --  0.0.0.0/0            0.0.0.0/0
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:net2loc:DROP:'
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain reject (13 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
DROP       all  --  0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast
DROP       all  --  255.255.255.255      0.0.0.0/0
DROP       all  --  224.0.0.0/4          0.0.0.0/0
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset
REJECT     udp  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

anonymous
()
Ответ на: комментарий от anonymous 

Chain shorewall (0 references)
target     prot opt source               destination

Chain smurfs (4 references)
target     prot opt source               destination
LOG        all  --  217.198.5.71         0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
DROP       all  --  217.198.5.71         0.0.0.0/0
LOG        all  --  10.111.1.255         0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
DROP       all  --  10.111.1.255         0.0.0.0/0
LOG        all  --  255.255.255.255      0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
DROP       all  --  255.255.255.255      0.0.0.0/0
LOG        all  --  224.0.0.0/4          0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
DROP       all  --  224.0.0.0/4          0.0.0.0/0

Chain tcpflags (4 references)
target     prot opt source               destination
logflags   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29
logflags   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00
logflags   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06
logflags   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03
logflags   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:0 flags:0x17/0x02

anonymous
()
Ответ на: комментарий от mky

Зря я все правила запостил. В самом деле есть то о чем вы писали.

iptables -L -n | grep reject
reject all -- 0.0.0.0/0 0.0.0.0/0
reject all -- 0.0.0.0/0 0.0.0.0/0
reject all -- 0.0.0.0/0 0.0.0.0/0
reject tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
reject tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
reject udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445
reject udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139
reject udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535
reject tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445
reject all -- 0.0.0.0/0 0.0.0.0/0
reject all -- 0.0.0.0/0 0.0.0.0/0
reject all -- 0.0.0.0/0 0.0.0.0/0
Chain logreject (0 references)
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:logreject:REJECT:'
reject all -- 0.0.0.0/0 0.0.0.0/0
Chain reject (13 references)
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

anonymous
()

да вы чо, народ?

это обыкновенные tcp-отлупы, типа коннекшен рефьюзд

ничего у него на 25-ом порту не запущено

anonymous
()
Ответ на: комментарий от anonymous

а доблятся к тебе обычные спамеры, поди у тебя с этого сервера пара-тройка человек не убереглись

anonymous
()

в норме недоступность порта TCP сообщается средствами самого TCP (в отличие, скажем, от UDP, который для этого использует ICMP). У тебя именно ситуация нормы. В tcpdump флаги: S = sync, R = reset.

alexsaa
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin