Discussion:
Sendmail firewall melding
(te oud om op te antwoorden)
Maxim Heijndijk
2008-05-11 09:04:25 UTC
Permalink
Gisteren heb ik Guarddog als firewall ingesteld. Ik heb nu continue dit
soort meldingen in mijn logs:

DROPPED IN= OUT=eth0 SRC=192.168.1.12 DST=206.225.95.129
LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=6526 DF PROTO=TCP SPT=1319 DPT=25
SEQ=166426072 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT
(020405B40101040201030305)

Hoe interpreteer ik dit precies? Zelf denk ik dat hier een proces vanaf
poort 25 op de netwerkkaart 192.168.1.12 contact probeert op te nemen
met een IP ergens in Amerika. Sendmail draait op poort 25. Ik vind dit
nogal merkwaardig, want poort 25 heb ik afgesloten voor uitgaand
verkeer. Hoe kan het dan dat outbound packets worden verstuurd ?
--
Maxim Heijndijk

Scripts - http://www.maccusfoto.nl/maxmenu
Theo v. Werkhoven
2008-05-11 09:16:36 UTC
Permalink
The carbonbased lifeform Maxim Heijndijk inspired
Post by Maxim Heijndijk
Gisteren heb ik Guarddog als firewall ingesteld. Ik heb nu continue dit
DROPPED IN= OUT=eth0 SRC=192.168.1.12 DST=206.225.95.129
LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=6526 DF PROTO=TCP SPT=1319 DPT=25
SEQ=166426072 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT
(020405B40101040201030305)
Hoe interpreteer ik dit precies? Zelf denk ik dat hier een proces vanaf
poort 25 op de netwerkkaart 192.168.1.12 contact probeert op te nemen
met een IP ergens in Amerika. Sendmail draait op poort 25. Ik vind dit
nogal merkwaardig, want poort 25 heb ik afgesloten voor uitgaand
verkeer. Hoe kan het dan dat outbound packets worden verstuurd ?
Je firewall doet wat je ervan verlangt; het houdt verkeer /naar/ buiten
op port 25 tegen en meldt je dat.

Source address:
SRC=192.168.1.12

Destination:
DST=206.225.95.12
Destination port:
DPT=25

Theo
--
theo at van-werkhoven.nl ICQ:277217131 SuSE Linux
linuxcounter.org: 99872 Jabber:muadib at jabber.xs4all.nl AMD XP3000+ 1024MB
"ik _heb_ niets tegen Microsoft, ik heb iets tegen
de uitwassen *van* Microsoft"
Maxim Heijndijk
2008-05-11 09:30:08 UTC
Permalink
Post by Theo v. Werkhoven
The carbonbased lifeform Maxim Heijndijk inspired
Post by Maxim Heijndijk
Gisteren heb ik Guarddog als firewall ingesteld. Ik heb nu continue dit
DROPPED IN= OUT=eth0 SRC=192.168.1.12 DST=206.225.95.129
LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=6526 DF PROTO=TCP SPT=1319 DPT=25
SEQ=166426072 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT
(020405B40101040201030305)
Hoe interpreteer ik dit precies? Zelf denk ik dat hier een proces vanaf
poort 25 op de netwerkkaart 192.168.1.12 contact probeert op te nemen
met een IP ergens in Amerika. Sendmail draait op poort 25. Ik vind dit
nogal merkwaardig, want poort 25 heb ik afgesloten voor uitgaand
verkeer. Hoe kan het dan dat outbound packets worden verstuurd ?
Je firewall doet wat je ervan verlangt; het houdt verkeer /naar/ buiten
op port 25 tegen en meldt je dat.
SRC=192.168.1.12
DST=206.225.95.12
DPT=25
Theo
Toch is er dan iets wat ik niet begrijp. Initieert sendmail deze
uitgaande verbinding uit zichzelf? Het lijkt me dat er eerst een
aanvraag moet worden gedaan van buitenaf, maar aangezien ik poort 25
helemaal heb afgesloten, zou die aanvraag nooit binnen kunnen komen. En
dus zou ook de uitgaande verbinding niet gestart kunnen worden, of zie
ik hier iets verkeerd?
--
Maxim Heijndijk

Scripts - http://www.maccusfoto.nl/maxmenu
Theo v. Werkhoven
2008-05-11 09:58:33 UTC
Permalink
The carbonbased lifeform Maxim Heijndijk inspired
Post by Maxim Heijndijk
Post by Theo v. Werkhoven
The carbonbased lifeform Maxim Heijndijk inspired
Post by Maxim Heijndijk
Gisteren heb ik Guarddog als firewall ingesteld. Ik heb nu continue dit
DROPPED IN= OUT=eth0 SRC=192.168.1.12 DST=206.225.95.129
LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=6526 DF PROTO=TCP SPT=1319 DPT=25
SEQ=166426072 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT
(020405B40101040201030305)
Hoe interpreteer ik dit precies? Zelf denk ik dat hier een proces vanaf
poort 25 op de netwerkkaart 192.168.1.12 contact probeert op te nemen
met een IP ergens in Amerika. Sendmail draait op poort 25. Ik vind dit
nogal merkwaardig, want poort 25 heb ik afgesloten voor uitgaand
verkeer. Hoe kan het dan dat outbound packets worden verstuurd ?
Je firewall doet wat je ervan verlangt; het houdt verkeer /naar/ buiten
op port 25 tegen en meldt je dat.
SRC=192.168.1.12
DST=206.225.95.12
DPT=25
Theo
Toch is er dan iets wat ik niet begrijp. Initieert sendmail deze
uitgaande verbinding uit zichzelf? Het lijkt me dat er eerst een
aanvraag moet worden gedaan van buitenaf, maar aangezien ik poort 25
helemaal heb afgesloten, zou die aanvraag nooit binnen kunnen komen. En
dus zou ook de uitgaande verbinding niet gestart kunnen worden, of zie
ik hier iets verkeerd?
De aanvraag komt van binnen je LAN.
Kijk in de logs van sendmail om te zien /waarom/ deze connectie wil
maken, mijn gok is een bounce of een andere DSN.

Theo
--
theo at van-werkhoven.nl ICQ:277217131 SuSE Linux
linuxcounter.org: 99872 Jabber:muadib at jabber.xs4all.nl AMD XP3000+ 1024MB
"ik _heb_ niets tegen Microsoft, ik heb iets tegen
de uitwassen *van* Microsoft"
Maxim Heijndijk
2008-05-11 10:58:00 UTC
Permalink
Post by Theo v. Werkhoven
The carbonbased lifeform Maxim Heijndijk inspired
Post by Maxim Heijndijk
Post by Theo v. Werkhoven
The carbonbased lifeform Maxim Heijndijk inspired
Post by Maxim Heijndijk
Gisteren heb ik Guarddog als firewall ingesteld. Ik heb nu continue dit
DROPPED IN= OUT=eth0 SRC=192.168.1.12 DST=206.225.95.129
LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=6526 DF PROTO=TCP SPT=1319 DPT=25
SEQ=166426072 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT
(020405B40101040201030305)
Hoe interpreteer ik dit precies? Zelf denk ik dat hier een proces vanaf
poort 25 op de netwerkkaart 192.168.1.12 contact probeert op te nemen
met een IP ergens in Amerika. Sendmail draait op poort 25. Ik vind dit
nogal merkwaardig, want poort 25 heb ik afgesloten voor uitgaand
verkeer. Hoe kan het dan dat outbound packets worden verstuurd ?
Je firewall doet wat je ervan verlangt; het houdt verkeer /naar/ buiten
op port 25 tegen en meldt je dat.
SRC=192.168.1.12
DST=206.225.95.12
DPT=25
Theo
Toch is er dan iets wat ik niet begrijp. Initieert sendmail deze
uitgaande verbinding uit zichzelf? Het lijkt me dat er eerst een
aanvraag moet worden gedaan van buitenaf, maar aangezien ik poort 25
helemaal heb afgesloten, zou die aanvraag nooit binnen kunnen komen. En
dus zou ook de uitgaande verbinding niet gestart kunnen worden, of zie
ik hier iets verkeerd?
De aanvraag komt van binnen je LAN.
Kijk in de logs van sendmail om te zien /waarom/ deze connectie wil
maken, mijn gok is een bounce of een andere DSN.
Theo
Inderdaad, dat moet het zijn. De mailqueue. heijndijk2.local.net moet
z'n mail versturen naar heijndijk.local net, maar kan deze niet vinden.
Lijkt een DNS probleem. Bedankt voor de info!

May 10 16:38:32 heijndijk2 kernel: [ 2476.140000] DROPPED IN= OUT=eth0
SRC=192.168.1.12 DST=206.225.95.129 LEN=52 TOS=0x00 PREC=0x00 TTL=64
ID=24132 DF PROTO=TCP SPT=2851 DPT=25 SEQ=1339691879 ACK=0 WINDOW=5840
RES=0x00 SYN URGP=0 OPT (020405B40101040201030305)

May 10 17:34:34 heijndijk2 sm-mta[5942]: m4ADijVe010720:
to=***@heijndijk.local.net, ctladdr=<***@heijndijk2.local.net> (0/0),
delay=01:51:17, xdelay=00:00:00, mailer=esmtp, pri=930580,
relay=heijndijk.local.net. [206.225.95.129], dsn=4.0.0, stat=Deferred:
heijndijk.local.net.: No route to host
Eric
2008-05-12 10:48:22 UTC
Permalink
Op zo 11 mei 12:58:00 2008 CEST schreef Maxim Heijndijk in
Post by Maxim Heijndijk
Post by Theo v. Werkhoven
The carbonbased lifeform Maxim Heijndijk inspired
De aanvraag komt van binnen je LAN.
Kijk in de logs van sendmail om te zien /waarom/ deze connectie wil
maken, mijn gok is een bounce of een andere DSN.
Theo
Inderdaad, dat moet het zijn. De mailqueue. heijndijk2.local.net moet
z'n mail versturen naar heijndijk.local net, maar kan deze niet vinden.
Lijkt een DNS probleem. Bedankt voor de info!
May 10 16:38:32 heijndijk2 kernel: [ 2476.140000] DROPPED IN= OUT=eth0
SRC=192.168.1.12 DST=206.225.95.129 LEN=52 TOS=0x00 PREC=0x00 TTL=64
ID=24132 DF PROTO=TCP SPT=2851 DPT=25 SEQ=1339691879 ACK=0 WINDOW=5840
RES=0x00 SYN URGP=0 OPT (020405B40101040201030305)
delay=01:51:17, xdelay=00:00:00, mailer=esmtp, pri=930580,
heijndijk.local.net.: No route to host
Zorg ervoor dat in je eigen DNS *.local.net verwijst naar IP-adressen in
je eigen netwerk als je per se local.net als je locale netwerknaam wilt
gebruiken.

Persoonlijk zou ik overigens voor locale netwerknamen geen bestaande
tld-domeinen nemen, dat is vragen om problemen. Nu met mail, straks weer
met wat anders.
--
Groeten,
Eric
Loading...