|
Dernière réponse | |
---|---|
Sujet : ip blacklistée, comment diagnostiqué le probleme sur un réseau? | |
hep8 | Ok, je vois de quoi tu parle pour le dns, en théorie du moins, je vais aller voir ca plus en detail.
Faut que je vois un peu ce que j peux faire avec mon FAI. Pour le firewall faudra donc passer un peu de temps pour le configurer au mieu. Merci. |
Aperçu |
---|
Vue Rapide de la discussion |
---|
hep8 | Ok, je vois de quoi tu parle pour le dns, en théorie du moins, je vais aller voir ca plus en detail.
Faut que je vois un peu ce que j peux faire avec mon FAI. Pour le firewall faudra donc passer un peu de temps pour le configurer au mieu. Merci. |
intrus34 |
|
hep8 | Apres quelque vérifications, j'ai du mettre des antivirus sur des machhines qui n'étaient pas protégées, notament celle dont je parle plus haut et qui floodais avec des requete arp. (on a une machine avec f-secure en serveur et tous les dérivés pourposte de travail, pour serveurs...)
Comme nous allons changer de FAI prochainement, et apres ces vérifications et une baisse significative du trafic réseaux, j'ai retiré nos IP des listes hier, et ca semble tenir. J'ai cependant une question sur une remarque de l'un de ces site. Je ne comprend pas ce dont il parle (en gras principalement):
|
Walk_Man | alors amha
1/ vire la mandrake et fou debian ou freebsd pour ta gate ca sera un bon début. 2/ installer un antivirus sur ton parc. (si ce n'est deja fait mais tu n'en parles pas), ou alors scan tes machines avec secuser.com/antivirus. 3/ si une machine te parrait douteuse, débranche la et ensuite renseigne toi. Mais ne la laisse pas tout te pourrir. edit : et sur la machine firewall / gate, fait un gros travaille de regle, qu'est ce qui doit sortir oui non comment etc... Travaille de fourmis a faire effectivement mais qui va empecher tout les programmes non validés par tes soins (worms et autre joyeuseté entre autres) de communiquer avec l'exterieur. edit2 : si les sites qui te bannent / blacklistent ont forcement des traces, des logs, a te donner, ils te blacklistent pas comme ca, demande leurs des traces completes de ce quui vient de chez toi, les en-tetes, les ports, blablablabla. |
hep8 | J'ai sniffer un peu, et ce que j'en ressort pour le moment, c'est un poste de travail du reseau qui fait plein de requete arp vers toutes les machines (broadcast)...
Ca veut dire quoi ces requete arp ... et puis au fond, je cherche quoi exactement en sniffant? |
intrus34 | PS: si vous etes pas sur de la config de votre SMTP mieux vaut faire transiter vos mails par le SMTP de votre FAI, ça évite d'etre blacklisté a vie par n'importe quel domaine... l'option sous exchange bah je sais plus comment ça s'appelle... |
intrus34 | donnez moi l'adresse de votre serveur je vais vous dire ce qui va pas :D |
L'apatride | Je te conseille de mettre une machine equipee d un firewall entre le routeur et le "modem" (en gros en derniere position avant l exterieur), de bloquer les ips de tous les sites qui te blacklistent et de surveiller le log, cela devrait t informer sur les sources du probleme et eviter que les proprietaires des sites en question ne se fachent definitivement.
Par firewall j entend bien sur un vrai firewall genre zonealarm ou sygate. Tu peux aussi te monter une machine en bridge (un vieux clou sous linux fait l affaire) equipee d un firewall (iptables ou, plus simple, shorewall) et d un soft de capture de packets tcp/ip (type ethereal), l avantage de ce genre de config est qu il suffit de l intercaler dans une portion de reseau pour avoir un log de tout ce qui transite par cette portion, bref, un outil (presque) indispensable pour tout admin reseau |
hep8 | J'ai fais ce que vous me conseilliez, mais je ne me trouve pas plus avancé.
-Tout d'abord, les logs du firewall: Trend Micro Interscan Viruswall
|
hep8 | Je regarde tout ca demain et je vous dit quoi!
Merci. |
raphaeldavid | Salut,
d'après moi , ton serveur exchange (SMTP) n'est pas en relais fermé. Ce qui veux dire qu'on peut envoyer des messages à partir de ceux-ci sans être sur ton réseau... Essais ça en 1er lieu teste le http://vsmtp.pagasa.net/ 2ement ( si il est ouvert) ferme le http://www.unixwiz.net/techtips/ex [...] relay.html |
chailloug | dans les logs de ton firewall t'as rien comme information ? |
cbo59 | Je pense que tu aurais plus de chance si tu mettais ton post dans la section réseau...
Bonne chance. Cyril. |
hep8 | Bonjour a tous,
J'ai un enorme probleme a mon boulot, notre IP internet a été blacklistée sur plusieur site!!! On s'est deja déblacklisté, mais on se fait reblacklister dans les heures qui suivent, et il nous menace maintenant de ne plus nous déblacklister si on ne regle pas le problème... Si je comprend bien, nous somme considéré comme spameur... c'est ca??? Comment diagnostiquer le probleme? Comment on "sniffe" tout un réseau? (pour trouver les machine infectées) Comment on snif une interface choisie (d'un pc, d'un serveur, switch,...) a partir de mon poste de travail? Comment empecher que l'on se serve de notre serveur mail pour spamer? Config: Réseau ethernet. Serveur Windows 2000 avec Exghange, DNS, DHCP Active directory. D'autre serveur Windows (2000, 2003), d'autre serveur linux. Poste de travail en 98 (encor une 50ene) en 200 et xp (la majorité 200PC). Serveur firewall (interscan viruswall 5) (mandrake 10.0) Voila en gros... J'ai du mal a saisir le probleme et je ne sais par ou commencer! Merci de m'aider! |