Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 522 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking a spammer does'nt seem to work

ezteok
Hi all,

The last few days i'm getting mass spam messages from a server called smarty.dreamhost.com IDS comes with the message:

2005:07:12-15:52:57 (none) snort[855]: [1:1549:0] D SMTP HELO overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} 66.33.216.24:40189 -> 172.16.77.77:25
2005:07:12-15:53:29 (none) snort[855]: [1:1549:0] D SMTP HELO overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} 66.33.216.24:40189 -> 172.16.77.77:25
2005:07:12-15:54:32 (none) snort[855]: [1:1549:0] D SMTP HELO overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} 66.33.216.24:40189 -> 172.16.77.77:25
2005:07:12-15:56:32 (none) snort[855]: [1:1549:0] D SMTP HELO overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} 66.33.216.24:40189 -> 172.16.77.77:25

So to get ride of this i add a block rule on 66.33.216.24 Normally that's enough but not this time. It looks as if this joker is not blocked at all. When i add the 'log' feature to the rule there is nothing in the log so i think that because of the fact that i'm running a smtp proxy this rule is ignored by the packet filter rules. Am i right? I always thought that the first thing that checks a packet is the packet filter followed by the services behind but i'm not so sure anymore  [:S]

Regards,

Jan


This thread was automatically locked due to age.
Parents
  • 0
    Hello,

    AFAIK blocking IPs that way does not work, because there's an autogenerated rule that accepts SMTP-connections from anywhere, and the autogenerated rules override the manual rules. (that was meantioned somewhere on this bulletin board, but I can't find the thread anymore)

    I'm also blocking some IPs (entire IP-Blocks, actually). The only way I have found is to define the Host/Network I want to block, and then create a DNAT-Rule that says any traffic from that Host/Network to the external interface, port 25 should have it's destination changed to 'nowhere'. Just define some non-existing IP as 'nowhere'. (192.168.254.254 or some private IP you don't use)

    Regards,
      thtran
Reply
  • 0
    Hello,

    AFAIK blocking IPs that way does not work, because there's an autogenerated rule that accepts SMTP-connections from anywhere, and the autogenerated rules override the manual rules. (that was meantioned somewhere on this bulletin board, but I can't find the thread anymore)

    I'm also blocking some IPs (entire IP-Blocks, actually). The only way I have found is to define the Host/Network I want to block, and then create a DNAT-Rule that says any traffic from that Host/Network to the external interface, port 25 should have it's destination changed to 'nowhere'. Just define some non-existing IP as 'nowhere'. (192.168.254.254 or some private IP you don't use)

    Regards,
      thtran
Children
No Data
Cookie Information Banner