Hilfe zum Verständnis ( ich kapiers net )

[twisterchen]

Hallo
ich bekomme alle paar minuten solche einträge:

Code: Select all

postfix/smtpd[29413]: warning: hostname dedic869.hidehost.net does not resolve to address 91.200.12.166: Name or service not known

zum testen habe ich mal die ips gedropt.

Code: Select all

/sbin/iptables -A INPUT -p all -d 46.161.9.0/24 -j DROP
/sbin/iptables -A INPUT -p all -d 91.200.0.0/16 -j DROP
/sbin/iptables -A INPUT -p all -d 94.102.0.0/16 -j DROP
/sbin/iptables -A INPUT -p all -d 93.174.91.0/24 -j DROP

/sbin/iptables -A OUTPUT -p all -d 46.161.9.0/24 -j DROP
/sbin/iptables -A OUTPUT -p all -d 91.200.0.0/16 -j DROP
/sbin/iptables -A OUTPUT -p all -d 94.102.0.0/16 -j DROP
/sbin/iptables -A OUTPUT -p all -d 93.174.91.0/24 -j DROP

die einträge kommen trotzdem, was verstehe ich hier falsch ?? was kann ich tun damit diese einträge nicht mehr kommen ??

Gruss
Twisterchen

[rudelgurke]

Mit "-d" ist wohl Destination gemeint. Richtiger wäre wohl "-s" um die Quelle zu blocken. Statt

iptables -A INPUT -d 127.256.257.258 -j REJECT

ein

iptables -A INPUT -s 127.256.257.258 -j REJECT

Die OUTPUT Regeln kann man sich dann eigentlich schenken, es sei denn man verschickt wirklich etwas in die Richtung.

Ggf. kann man, falls noch offene Verbindungen bestehen, mit "tcpkill" dagegen "treten" und von sich aus die Verbindung dicht machen.

[twisterchen]

Ok vielen dank das mit den IPTABLES könnte ich verbessern........

leider geht das nicht in mein Gehirn:

Code: Select all

Jan 30 14:40:43 XXXXXXXXXXXXXXX postfix/smtpd[1679]: warning: hostname dedic865.hidehost.net does not resolve to address 91.200.12.101: Name or service not known 
Jan 30 14:40:43 XXXXXXXXXXXXXXX postfix/smtpd[1679]: lost connection after AUTH from unknown[91.200.12.101]

Code: Select all

hostname dedic865.hidehost.net

sagt mir nichts und ich kann auch keinen WHOIS drauf machen aber auf die IP 91.200.12.101 schon

Warum kommen diese Einträge zusatand ?? und wie kann ich herausfinden warum hostname dedic865.hidehost.net does not resolve to address 91.200.12.101

mich stören diese einträge einfach und will verstehen warum
;)
Vielen Dank für euer Bemühen

[jan10001]

Besagt nur das dein Server die IP für "dedic865.hidehost.net" nicht ermitteln kann. Viele Server prüfen ob Hostname und IP zusammen passen, was hier nicht der Fall ist. Vermutlich ist das ein Spammer.

[twisterchen]

Vielen Dank auch dafür, verstehe ich auch, aber wie kommt die Anfrage in mein Server ??

ich habe oben angegeben

Code: Select all

/sbin/iptables -A INPUT -s all -d 46.161.9.0/24 -j REJECT
/sbin/iptables -A INPUT -s all -d 91.200.0.0/16 -j REJECT
/sbin/iptables -A INPUT -s all -d 94.102.0.0/16 -j REJECT
/sbin/iptables -A INPUT -s all -d 93.174.91.0/24 -j REJECT

wie man sieht ist der ganze Adressebereich 91.200.0.0/16 geblockt verworfen wie auch immer,
somit dürfte dieser spammer doch gar nicht bis zur abfrage kommen oder sich überhaupt versuchen
zu können, Anzumelden.

Wenn ich euch nerfe sagt es, aber ich verstehe somit nicht warum diese einträge überhaupt noch
vorhanden sind.

Code: Select all

Jan 30 14:40:43 XXXXXXXXXXXXXXX postfix/smtpd[1679]: warning: hostname dedic865.hidehost.net does not resolve to address 91.200.12.101: Name or service not known 
Jan 30 14:40:43 XXXXXXXXXXXXXXX postfix/smtpd[1679]: lost connection after AUTH from unknown[91.200.12.101]

Gruss

[Joe User]

Das ist lediglich ein generischer Hostname wie ihn nahezu alle Serveranbieter für ihre Kundensysteme vergeben. Zu diesen Hostnamen vergeben allerdings nur die wenigsten Serveranbieter auch einen passenden PTR und/oder A Record im DNS.

Letzteres bemängelt Dein Mailserver und kann ruhigen Gewissens ignoriert werden.

[ddm3ve]

Also die "korrekte" CIDR wäre wohl: 91.200.12.0/22

Prüfe mal auf Deinem System, ob er nicht eine Verbindung offen gehalten hat. Im Zweifel den Mailserver kurz durch starten.
Die Verbindung wird nicht automatisch rejected, wenn sie noch besteht.

Also prüfe ggf. mit netstat ob und welche Verbindungen noch bestehen.