Καλησπέρα σε όλους,
Δεν είμαι έμπειρος στο σετάρισμα του cisco και θέλω βοήθεια στο εξής.
Προσπαθώ να εντοπίσω ένα spambot στο εσωτερικό δίκτυο της εταιρίας αλλα με ταλαιπωρεί.
Σκανάρω περιπου 25 pc με ένα σωρό antivirus, antimalware, stinger κλπ αλλα μέχρι τώρα δεν έχω βρεί που κρύβεται.
Έχω σετάρει το firewall να μπλοκάρει όλα τα εξερχόμενα στο port 25 εκτός απο το ip του mail-server της εταιρίας, και τουλάχιστον δεν βγαίνουν έξω τα spam.
Απο τα logs βλεπω οτι μπλοκάρονται πολλά, αλλα βλέπω μόνο το destination IP. Δεν μπορώ να δω το εσωτερικό IP που τα στέλνει.
Υπάρχει τρόπος να το δώ με κάποια ρύθμιση-αλλαγή?
Ευχαριστώ...
Εμφάνιση 1-7 από 7
-
06-07-10, 21:17 Βοήθεια Cisco 876 firewall #1
Newbie Member
- Εγγραφή
- 05-01-2005
- Μηνύματα
- 15
- Downloads
- 0
- Uploads
- 0
-
07-07-10, 00:55 Απάντηση: Βοήθεια Cisco 876 firewall #2
L
Administrator
- Εγγραφή
- 08-01-2004
- Περιοχή
- Espoo, FI
- Ηλικία
- 51
- Μηνύματα
- 20.944
- Downloads
- 41
- Uploads
- 0
- Άρθρα
- 4
- Τύπος
- FTTH
- Ταχύτητα
- 1000/400
- ISP
- Elisa
- Router
- pfsense
Δύο τρόπους μπορώ να σκεφτώ.
Α' τρόπος
Ενεργοποιείς το netflow στο vlan1 interface
και μετά βλέπεις τα αποτελέσματα μεΚώδικας:ip flow ingress
Τα αποτελέσματα θα είναι της μορφήςΚώδικας:show ip cache flow
Στη στήλη SrcIPaddress θα βλέπεις τις ΙΡ από τις οποίες ξεκινά η κίνηση, στη στήλη DstIPaddress θα βλέπεις τον προορισμό και στη στήλη DstP την πόρτα στον προορισμό (προσοχή, είναι σε δεκαεξαδικό). Οπότε ψάχνεις να δεις ποιες ΙΡ έχουν DstIPaddress εκτός του δικτύου σου και DstP 0019 (δηλαδή 25 δεκαδικό), αγνοείς την ΙΡ του mailserver και μάλλον βρήκες τους ενόχους.Κώδικας:SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Vl1 xxx.xxx.xxx.xxx Di1 xxx.xxx.xxx.xxx 06 CF95 0050 4 Vl1 xxx.xxx.xxx.xxx Null xxx.xxx.xxx.xxx 11 CB6F 0035 1 Vl1 xxx.xxx.xxx.xxx Di1 xxx.xxx.xxx.xxx 06 0584 4E84 585 Vl1 xxx.xxx.xxx.xxx Di1 xxx.xxx.xxx.xxx 06 474F 0747 2
Β' τρόπος
Ενεργοποιείς inspection (αν δεν έχεις ήδη) για το smtp, με audit-trail
Το εφαρμόζεις στο Dialer interfaceΚώδικας:ip inspect name dokimes smtp audit-trail on timeout 60
και μετά μπορείς να βλέπεις τα μηνύματα είτε στην κονσόλα, είτε σε syslog server. Με αυτόν τον τρόπο θα πρέπει όμως θα πρέπει προσωρινά να επιτρέψεις την εξερχόμενη κίνηση στην πόρτα 25, έτσι ώστε να καταφέρουν οι clients να μιλήσουν με τον εξωτερικό SMTP server και να το πιάσει το audit trail.Κώδικας:ip inspect dokimes out
Τα μηνύματα που θα λάβεις σε αυτήν την περίπτωση είναι της μορφής:
Κώδικας:Jul 7 00:43:49 routername 5712: Jul 7 00:43:47.963: %FW-6-SESS_AUDIT_TRAIL_START: Start smtp session: initiator (xxx.xxx.xxx.xxx:20274) -- responder (yyy.yyy.yyy.yyy:25) Jul 7 00:44:01 routername 5713: Jul 7 00:44:00.744: %FW-6-SESS_AUDIT_TRAIL: Stop smtp session: initiator (xxx.xxx.xxx.xxx:20274) sent 104 bytes -- responder (yyy.yyy.yyy.yyy:25) sent 188 bytes
Ανυπόγραφος
-
07-07-10, 07:15 Απάντηση: Βοήθεια Cisco 876 firewall #3
Newbie Member
- Εγγραφή
- 05-01-2005
- Μηνύματα
- 15
- Downloads
- 0
- Uploads
- 0
Ευχαριστώ Euri, Το δοκιμάζω...
Ασχετος.
-
07-07-10, 16:27 Απάντηση: Βοήθεια Cisco 876 firewall #4
Frequent Member
- Εγγραφή
- 29-04-2008
- Περιοχή
- London - UK
- Μηνύματα
- 271
- Downloads
- 1
- Uploads
- 0
- Τύπος
- Other / Άλλο
- Ταχύτητα
- 51200/5120
- ISP
- Virgin
- Router
- Cisco
Επίσης μπορείς σαν εναλακτική να δείς τα active translations sto Nat Table.
-
07-07-10, 17:10 Re: Βοήθεια Cisco 876 firewall #5
Expert Member
- Εγγραφή
- 21-12-2004
- Περιοχή
- Ανα την επικράτεια...
- Μηνύματα
- 1.425
- Downloads
- 7
- Uploads
- 0
- Τύπος
- ADSL OTE
- Ταχύτητα
- 12288/512
- ISP
- OTE
- DSLAM
- ΟΤΕ - ΠΑΥΛΟΥ ΜΕΛΑ
- Router
- Cisco877-SEC-K9
- SNR / Attn
- 6(dB) / 36.5(dB)
- Path Level
- Interleaved
...με show ip nat trans
Πείτε όχι στα ναρκωτικά.
Δε φτάνουν για όλους!!!
-
07-07-10, 17:50 Απάντηση: Βοήθεια Cisco 876 firewall #6
L
Administrator
- Εγγραφή
- 08-01-2004
- Περιοχή
- Espoo, FI
- Ηλικία
- 51
- Μηνύματα
- 20.944
- Downloads
- 41
- Uploads
- 0
- Άρθρα
- 4
- Τύπος
- FTTH
- Ταχύτητα
- 1000/400
- ISP
- Elisa
- Router
- pfsense
Το πήγα λίγο μακρυά ε;
Ανυπόγραφος
-
07-07-10, 19:25 Απάντηση: Βοήθεια Cisco 876 firewall #7
Frequent Member
- Εγγραφή
- 29-04-2008
- Περιοχή
- London - UK
- Μηνύματα
- 271
- Downloads
- 1
- Uploads
- 0
- Τύπος
- Other / Άλλο
- Ταχύτητα
- 51200/5120
- ISP
- Virgin
- Router
- Cisco
Πολύ καλή η απάντηση που έδωσες αλλά για πιο advance περιπτώσεις...
ΠαράθεσηΠαρόμοια Θέματα
-
Help με Cisco 876
Από rs0d στο φόρουμ Cisco ADSL modems και routersΜηνύματα: 17Τελευταίο Μήνυμα: 19-05-10, 12:46 -
Upload configuration απο cisco 436 σε cisco 876
Από vagg στο φόρουμ Cisco ADSL modems και routersΜηνύματα: 2Τελευταίο Μήνυμα: 31-12-08, 12:16 -
Cisco 2811 & Cisco 876 MTU αλλαγή??
Από Dangelo στο φόρουμ Cisco ADSL modems και routersΜηνύματα: 13Τελευταίο Μήνυμα: 09-10-08, 16:25 -
Βοήθεια με CISCO 876
Από stg11 στο φόρουμ Cisco ADSL modems και routersΜηνύματα: 5Τελευταίο Μήνυμα: 29-09-06, 10:09 -
Cisco 836 Firewall σετάρισμα -> Βοήθεια!
Από lacbil στο φόρουμ Cisco ADSL modems και routersΜηνύματα: 2Τελευταίο Μήνυμα: 17-10-04, 10:33
Bookmarks