iptables + postfix não pode enviar email

Navegue suas respostas
1

Recentemente, meu provedor de hospedagem me enviou uma carta sobre algum tipo de ataque do meu servidor. Eu não estou em segurança, então eu encontrei alguns tutoriais e fechei todas as portas não utilizadas com o iptables.

Aqui está minha listagem do iptables: 

Chain INPUT (policy DROP)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssmtp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap2 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www state NEW 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain state NEW 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain state NEW 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:www 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:https 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:smtp 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ssmtp 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:pop3 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:pop3s 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:imap2 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:imaps 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp

Por algum motivo, o ataque parou, mas não consigo mais enviar e-mails.

-P OUTPUT ACCEPT funciona, mas não é uma opção para mim.

Preciso de ajuda o mais rápido possível. Obrigado

    
por kabukiman 23.09.2014 / 15:10

1 resposta

1

Quando ACCEPT ing conexões de e-mail de saída, você precisa fazer isso por dpt:smtp . A porta de origem das conexões de correio de saída é aleatória, não é a smtp port.

Mais importante, no entanto, é necessário descobrir o que estava causando o ataque e, se o sistema estiver comprometido, é necessário reinstalá-lo para garantir que o comprometimento não permaneça disponível para o invasor.

    
por 23.09.2014 / 15:15

Tags

Posso desabilitar completamente o ASP.NET no IIS, junto com todos os efeitos colaterais? Aplicabilidade do Docker [fechada]