Jak zjistit útočníka
Martin Kraus
lists_mk na wujiman.net
Neděle Únor 8 22:34:23 CET 2009
On Sun, Feb 08, 2009 at 10:28:11PM +0100, mandrake.user wrote:
> > Zdravím,
> >
> > vím že tady je to asi OT, ale o co jde
> >
> > někdo vede vytrvalý útok na můj mailserver, ale bohužel nevím jak
> > zjistit odkud to jde. V logu je totiž ip adresa vnitřního rozhraní mojí
> > brány. Všechny zprávy jsou správně reject a po překročení limitu je
> > odmítáno spojení. Nicméně útočník je vytrvalý a hrne to na mě dál již
> > cca 12 hodin.
> >
>
> Proč by měla být v logu adresa vnitřního rozhraní routeru? I když máte přesměrovaný port, tak by mělo být vidět na mailserveru správná ip. Není možné že se Vám na mailserver cpe nějaký lokální stroj? Pokud z lokální sítě přistoupíte na veřejnou ip a port který je přesměrovaný zpět do sítě, tak uvidíte lokální adresu brány.
>
rekl bych, ze krabicka udela jak DNAT na ip ve vnitrni siti tak SNAT za ip z
vnitrni site routeru, aby se predeslo problemum s pripojovanim z lokalni site
na verejne ip a tedy forwardem zpet do lokalni site.
mk
Další informace o konferenci Linux