-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El 2005-12-22 a las 23:26 -0500, luis escribió:
Hola a todos,
Si estoy, no se por qué rebota. Ya le comentaba a Carlos algo sobre esos
rebote. Incluso solicité al servidor esos mensajes perdidos.
A ver, es imposible. Te lo comento en público en la esperanza de que lo
puedas leer de algún modo ignoto.
Por un lado, el servidor pri.onat.gov.cu dice que no existes (usuario
desconocido), por lo que no puedes recibir correo, ni de la lista ni
nuestro. Puedes enviar, pero no recibir.
Por otro lado, en privado me has pasado otra cuenta, pero tampoco te puedo
enviar; dice:
host *.edu.cu[...10] said: 450 : Helo command rejected: Host not found (in reply to RCPT TO command))
O sea, está rechazando el nombre de mi PC, que desde luego no tiene
entrada DNS. Esto es posible, pero no es habitual, porque bloquea a los
servidores de envio que estén detras de un router porque el de recibo es
otro distinto, por ejemplo. En fin, es posible que pueda enviarte
temporalmente si desactivo mi postfix localmente, pero es una verdadera
gaita que no voy a explicar ahora el porqué.
Pero hay más: esa máquina ha intentado "hackearme", según el snort:
Dec 23 21:33:19 nimrodel snort: [122:3:0] (portscan) TCP Portsweep {RAW} 81.?..?251 -> 200.?.?.10
Con un grep en el log del cortafuegos lo veo:
Dec 23 21:33:10 nimrodel kernel: SFW2-INext-DROP-DEFLT IN=ppp0 OUT= MAC=
SRC=200.??.??.10 DST=81.??.??.251 LEN=40 TOS=0x00 PREC=0x00 TTL=44 ID=0
DF PROTO=TCP SPT=25 DPT=25455 WINDOW=0 RES=0x00 ACK RST URGP=0
Dec 23 21:33:12 ... SPT=25 DPT=25454
Dec 23 21:33:23 ... SPT=25 DPT=25456
Ha escaneado, aparentemente, mis puertos 25454 al 25456 (que yo vea),
desde el puerto 25 que es del smtp. ¿Que rayos intentan?
[**] (portscan) TCP Portsweep [**]
12/23-21:33:19.431774 81.??.??.251 -> 200.??.??.10
RAW TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:165 DF
50 72 69 6F 72 69 74 79 20 43 6F 75 6E 74 3A 20 Priority Count:
35 0A 43 6F 6E 6E 65 63 74 69 6F 6E 20 43 6F 75 5.Connection Cou
6E 74 3A 20 31 30 0A 49 50 20 43 6F 75 6E 74 3A nt: 10.IP Count:
20 31 30 0A 53 63 61 6E 6E 65 64 20 49 50 20 52 10.Scanned IP R
61 6E 67 65 3A 20 32 30 30 2E 35 35 2E 31 34 33 ange: 200.??.??
2E 31 30 3A 38 31 2E 34 31 2E 32 30 30 2E 32 35 .10:81.??.??.25
31 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 75 1.Port/Proto Cou
6E 74 3A 20 39 0A 50 6F 72 74 2F 50 72 6F 74 6F nt: 9.Port/Proto
20 52 61 6E 67 65 3A 20 32 35 3A 32 38 38 39 32 Range: 25:28892
0A .
De todas formas, el log del snort es raro. Mi IP local era 81.??.??.251, y
el log del snort dice "81.??.??.251 -> 200.??.??.10", como si fuera mi IP
la que estuviera haciendo el scan. Pero eso no coincide con lo que dice el
del firewall, y del cual me fio más:
SRC=200.??.?.10 DST=81.??.??.251
Y aparte, si fuera yo el que estuviera escaneando, se supone que el snort
no diría nada, ¿no? Porque eso me precuparía más todavía, que yo estuviera
escaneando, significaría un agujero.
- --
Saludos
Carlos Robinson
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iD8DBQFDrJWJtTMYHG2NR9URAmMVAJ4gB9WQYH3a9njNTexugwBxnJlXHACfSnMS
ruMhYz90RjWYMBlMqmaAzsI=
=i/9d
-----END PGP SIGNATURE-----