Добрый день. Есть сеть, домен на win2003 standart, около 60 компьютеров. Неделю назад наш внешний IP попал в черный список CBL. почта используется как корпоративная, так и общая (всякие там mail.ru, и пр. Почта на некоторые адреса перестала отсылаться, Вероятно, есть спам-бот в локальной сети. Как найти, с какого внутреннего IP идет рассылка спама?
С аппаратными фаерволами раньше не работал, раньше юзал kerio. Через веб-интерфейс в настройки правил войти могу. А вот дальше....

syslog ставте
потом ищите чем эти логи анализировать .....
есть прикрепленная тема про подсчет трафика - смотрите в ту сторону

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Программу http://syslog-daemon.narod2.ru/ поставил, данные по текущим правилам качаются , статистику на своей локальной машине вижу.

Я правильно понимаю,что Чтобы заблокировать всем кроме почтового сервера отсылать почту через 25 порт, нужно сделать 2 правила
Первое Источник : интерфейс LAN , IP -адрес почтового сервера. Назначение CORE, сеть - все локальные адреса (192.168.0.0/24), NAT
Второе Источник : Итнерфейс LAN , IP адрес - все локальные адреса (192.168.0.0/24) ,назначение CORE, адреса - все (0.0.0.0/0), DROP

В результате все 25 порты кроме порта почтового сервера не смогут передавать в Интернет сообщения по 25 порту.
Пользователи,которые используют почту (маил ру и прочую) через веб-интерфейс смогут как и прежде получать и принимать письма.
Всё верно?

Если Вы, только начинаете разбираться с DFL , то как на меня, я бы стандартное правило (разрешено всем по всех протоколах)заблокировал, а создал бы для каждого пользователя(или группы пользователей) правила, которые могу например только отправлять почту, для других http+pop+smtp, и так далее. Ну по крайней мере я так у себя сделал, вплоть до того что например с некоторых ПК можно отправить только почту через смтп протокол исключительно через майл.ру или корпоративный, с других "шарится по сайтах" но в жизнь не удасца отпавить почту через почтовый клиент, для третьих вообще что могут зайти на определенные парочку сайтов и все. При этом нужно помнить о ДНС серверах - разрешать доступ ПК которые выходят в "нет". Ну вот както так.
А правило которое разрешает исключительно например работать по pop протоколу пишется примерно так :
октуда - Lan , IP - пк в лок.сети, куда Wan, all-net -это если отправлять на любые почтовые сервера( в противном случае указываем адреса почтовых серверов), в Service указываем сервис - pop, в Action указываем NАТ. Ну и второе правило для днс, чтобы локальный ПК сумел преобразовать в Ip адрес, в принципе я создал группу в которую добавляю пользователей которым разрешено доступ к днс.
Не знаю доходчиво или нет, но сложного ничего нету со временем разберетесь, DFL довольно таки гибкая весчь для возможности настройки.
Для наглядности приложил правило которое разрешает получать/отправлять почту компютеру исключительно через почтовый клиент с домена ukr.net

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

можно на основе smtp-ALG создать правило, которое всем компам позволит по smtp ломиться в инет не чаще чем сколько-то раз в минуту. Это поможет от спам ботов.

Еще надо всех пролечить CureIt и поставить антивирус.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

И еще. Заметил,что ко мне с периодичностью раз в 1-2 секунды с одного и того же адреса ломятся по RDP (порт 3389). Логи на терминалке показывают,что ломятся ,перебирая популярные логины (типа бух, buh, касса, кассир, админи пр.) Где в фаерволе настроить ,чтобы подобные активно подбирающие пароли хосты блокировались? Или как указать максимальное количество попыток входа по RDP из Интернета

Смените внешний порт 3389 на что-нибудь другое. По-легче будет... ))

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

https://www.google.ru/search?q=%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0+rdp+%D0%BE%D1%82+%D0%B1%D1%80%D1%83%D1%82%D1%84%D0%BE%D1%80%D1%81%D0%B0&oq=%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0+rdp&aqs=chrome.2.69i57j0l5.8481j0j4&sourceid=chrome&espv=210&es_sm=93&ie=UTF-8

http://www.youtube.com/watch?v=CMHelTQ1XsM

- А еще админить по rdp под ником <который_никто_в_здавом_уме_не_придумает>

- а еще заходить по VPN а потом по rdp

- а еще дать доступ по rdp только доверенным IP адресам

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

С какого адреса? Из локалки или снаружи?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

+100500

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

А что мешает убрать свой IP из черного списка? Была подобная дилемма где то месяца три назад - тоже на некоторые адреса поста не уходила (когда отправляешь почту приходи ответ от робота что мол ваш ip в спам базе), проверил свой на наличие в спам базах например на 2ip.ru - там где он засветился, есть возможность удалить его зайдя на страничку этих баз. И еще вопрос - у Вас свой почтовый сервер или используете сервер провайдера?

После анализов статистики нашел машинку,которая "фонила" 25м портом. Просканировал касперским лив сиди, нашел спам-бота, прибил, поставил все обновления и с 11 февраля IP в черный список больше не добавляется.