ip blacklistée, comment diagnostiqué le probleme sur un réseau?
ip blacklistée, comment diagnostiqué le probleme sur un réseau? - Windows & Software
Marsh Posté le 26-01-2006 à 17:24:10
Je pense que tu aurais plus de chance si tu mettais ton post dans la section réseau...
Bonne chance.
Cyril.
Marsh Posté le 26-01-2006 à 17:39:39
dans les logs de ton firewall t'as rien comme information ?
Marsh Posté le 26-01-2006 à 18:08:23
Salut,
d'après moi , ton serveur exchange (SMTP) n'est pas en relais fermé.
Ce qui veux dire qu'on peut envoyer des messages à partir de ceux-ci sans être sur ton réseau...
Essais ça en 1er lieu
teste le
http://vsmtp.pagasa.net/
2ement ( si il est ouvert) ferme le
http://www.unixwiz.net/techtips/ex [...] relay.html
Marsh Posté le 27-01-2006 à 15:41:23
J'ai fais ce que vous me conseilliez, mais je ne me trouve pas plus avancé.
-Tout d'abord, les logs du firewall:
Trend Micro Interscan Viruswall
| Spoiler : Log «smtp export » : |
"Dupont" et "Mondomaine" sont de moi! ;-)
Seulment ces logs ne me dise pas grand chose, je n'ai bien sur mis que des exemple de ce que j'y trouve.
Qu'en penssez vous?
-Ensuite j'ai fais les teste sur le sit et le serveur est bien en relais fermé.
Pour que vous compreniez ma situation, sachez que je suis a ce poste d'administrateur (mon premier emploi!) depuis moin de 2 mois, ce qui explique que je sois un peu perdu!
PS Dois-je poster dans la partie réseau? Comme le propose cbo59?
Message édité par hep8 le 27-01-2006 à 15:43:26
Marsh Posté le 27-01-2006 à 16:05:26
Je te conseille de mettre une machine equipee d un firewall entre le routeur et le "modem" (en gros en derniere position avant l exterieur), de bloquer les ips de tous les sites qui te blacklistent et de surveiller le log, cela devrait t informer sur les sources du probleme et eviter que les proprietaires des sites en question ne se fachent definitivement.
Par firewall j entend bien sur un vrai firewall genre zonealarm ou sygate. Tu peux aussi te monter une machine en bridge (un vieux clou sous linux fait l affaire) equipee d un firewall (iptables ou, plus simple, shorewall) et d un soft de capture de packets tcp/ip (type ethereal), l avantage de ce genre de config est qu il suffit de l intercaler dans une portion de reseau pour avoir un log de tout ce qui transite par cette portion, bref, un outil (presque) indispensable pour tout admin reseau
Marsh Posté le 28-01-2006 à 16:37:46
donnez moi l'adresse de votre serveur je vais vous dire ce qui va pas 
Marsh Posté le 28-01-2006 à 16:43:28
PS: si vous etes pas sur de la config de votre SMTP mieux vaut faire transiter vos mails par le SMTP de votre FAI, ça évite d'etre blacklisté a vie par n'importe quel domaine... l'option sous exchange bah je sais plus comment ça s'appelle...
Marsh Posté le 30-01-2006 à 12:37:52
J'ai sniffer un peu, et ce que j'en ressort pour le moment, c'est un poste de travail du reseau qui fait plein de requete arp vers toutes les machines (broadcast)...
Ca veut dire quoi ces requete arp ... et puis au fond, je cherche quoi exactement en sniffant?
Marsh Posté le 30-01-2006 à 12:47:09
alors amha
1/ vire la mandrake et fou debian ou freebsd pour ta gate ca sera un bon début.
2/ installer un antivirus sur ton parc. (si ce n'est deja fait mais tu n'en parles pas), ou alors scan tes machines avec secuser.com/antivirus.
3/ si une machine te parrait douteuse, débranche la et ensuite renseigne toi. Mais ne la laisse pas tout te pourrir.
edit : et sur la machine firewall / gate, fait un gros travaille de regle, qu'est ce qui doit sortir oui non comment etc... Travaille de fourmis a faire effectivement mais qui va empecher tout les programmes non validés par tes soins (worms et autre joyeuseté entre autres) de communiquer avec l'exterieur.
edit2 : si les sites qui te bannent / blacklistent ont forcement des traces, des logs, a te donner, ils te blacklistent pas comme ca, demande leurs des traces completes de ce quui vient de chez toi, les en-tetes, les ports, blablablabla.
Message édité par Walk_Man le 30-01-2006 à 12:51:23
Marsh Posté le 01-02-2006 à 11:44:47
Apres quelque vérifications, j'ai du mettre des antivirus sur des machhines qui n'étaient pas protégées, notament celle dont je parle plus haut et qui floodais avec des requete arp. (on a une machine avec f-secure en serveur et tous les dérivés pourposte de travail, pour serveurs...)
Comme nous allons changer de FAI prochainement, et apres ces vérifications et une baisse significative du trafic réseaux, j'ai retiré nos IP des listes hier, et ca semble tenir. J'ai cependant une question sur une remarque de l'un de ces site. Je ne comprend pas ce dont il parle (en gras principalement):
| Spoiler : The misc.spam group is mostly (but not entirely) composed of entire addresses blocks that have a) sent spam here, b) have consecutive or missing reverse dns, and c) have no customer sub-delegation via either the controlling RIR (ARIN, RIPE, LACNIC, APNIC, etc) or an rwhois server referenced in the main RIR records. |
je ne sais de quoi il parle, j'ai un domaine, un ip pour l'interface extérieur au réseau et il trouve que je suis chez skynet... que veut-il de plus? Que dois-je vérifier avant de les contacter?
Pour le firewall, vous me conseiller de bloquer tout et d'autoriser les application (=les ports) une a une? (pour repartir du bon pieds avec notre nouveau FAI)
Marsh Posté le 02-02-2006 à 12:39:31
| hep8 a écrit :
|
Apparemment, par mesure de sécurité, peut etre excéssive, le serveur de ce domaine demande que vous
ayez un DNS dans lequel votre interface WAN est référencée en PTR et en A, c'est a dire il cherche votre adresse
IP, fait une requete DNS inverse (PTR) et regarde si l'un de ces enregistrements PTR correspond a votre
interface WAN (enregistrement A), en gros faudrait que soit votre FAI gère le DNS de votre domaine, soit votre registrar s'il le fait, soit vous meme.
| Citation : |
ça dépend ce qu'on appelle tout bloquer...mais en gros vaut mieux pas rediriger des ports sur vos serveurs si c'est pas utile c'est sur.
Marsh Posté le 02-02-2006 à 18:28:43
Ok, je vois de quoi tu parle pour le dns, en théorie du moins, je vais aller voir ca plus en detail.
Faut que je vois un peu ce que j peux faire avec mon FAI.
Pour le firewall faudra donc passer un peu de temps pour le configurer au mieu.
Merci.
Sujets relatifs:
- problème avec Nero 7
- reseau wifi et livebox
- Reseau wifi visible mais impossible de se connecter
- Problème réseau mixte 2000/xp (ping ok, mais réseau pas vu...)
- [Résolu] Afficher bureau PC sur un téléviseur via réseau Ethernet
- probléme sauvegarde
- les avantages de l'evolution du reseau informatique
- ADSL + câble dans un réseau local
- Probleme reseaux et livebox
Marsh Posté le 26-01-2006 à 15:55:12
Bonjour a tous,
J'ai un enorme probleme a mon boulot, notre IP internet a été blacklistée sur plusieur site!!!
On s'est deja déblacklisté, mais on se fait reblacklister dans les heures qui suivent, et il nous menace maintenant de ne plus nous déblacklister si on ne regle pas le problème...
Si je comprend bien, nous somme considéré comme spameur... c'est ca???
Comment diagnostiquer le probleme?
Comment on "sniffe" tout un réseau? (pour trouver les machine infectées)
Comment on snif une interface choisie (d'un pc, d'un serveur, switch,...) a partir de mon poste de travail?
Comment empecher que l'on se serve de notre serveur mail pour spamer?
Config:
Réseau ethernet.
Serveur Windows 2000 avec Exghange, DNS, DHCP Active directory.
D'autre serveur Windows (2000, 2003), d'autre serveur linux.
Poste de travail en 98 (encor une 50ene) en 200 et xp (la majorité 200PC).
Serveur firewall (interscan viruswall 5) (mandrake 10.0)
Voila en gros...
J'ai du mal a saisir le probleme et je ne sais par ou commencer!
Merci de m'aider!