PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bei Postfix IP Bereich sperren??



WillhelmTell
24.04.04, 22:39
Hallo Leute
Ich hab mir die folgende Anleitung mal angeschaut um ein paar IP Bereiche zu sperren:

Wenn man das Problem hat, dass grundsätzlich eine IP-Adresse negativ auffällt, kann man die Annahme von Mails, die von dieser IP-Adresse kommen, sperren:
in /etc/postfix/main.cf einen Verweis auf eine Tabelle machen, die man entsprechend anlegt:

check_client_access = hash:/etc/postfix/ip-block
Datei /etc/postfix/ip-block anlegen:
10.1.2.3 REJECT

Dabei können wir auch einen gesamten IP-Bereich, z.B. 10.1.2.4 bis 10.1.2.99 sperren:
for i in `seq 4 99`; do
echo "10.1.2.$i REJECT" >> /etc/postfix/ip-block
done;
Anleitung zu finden unter: http://193.175.22.77/bilders/Netzwerke2002/postfix.html

ich habe in /etc/postfix die Datei ip-block erstellt, und die folgenden Zeilen eingefügt:
for i in `seq 255 255 255`; do
echo "60.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "61.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "202.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "203.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "210.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "211.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "218.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "219.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "220.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "221.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;
for i in `seq 255 255 255`; do
echo "222.$i.$i.$i REJECT" >> /etc/postfix/ip-block
done;

Dann habe ich den Befehl: postmap /etc/postfix/ip-block ausgeführt
( vieleicht ist das ja gar nicht nötig .. )

Ich bekam folgende Fehlermeldungen:
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"
postmap: warning: /etc/postfix/ip-block.db: duplicate entry: "for"

Nun meine Frage was ist in der Datei IP block falsch?
Und wie kann ich es testen ob es funktioniert?

herzlichen Dank für eure Hilfe

CU
WillhelmTell

Jasper
24.04.04, 23:30
ich habe in /etc/postfix die Datei ip-block erstellt, und die folgenden Zeilen eingefügt:


das ist falsch. die shellskriptezeilen dürfen nicht in ip-block stehen. das du das machen sollst steht eigentlich nicht in der anleitung.


-j

WillhelmTell
25.04.04, 00:22
das ist falsch. die shellskriptezeilen dürfen nicht in ip-block stehen. das du das machen sollst steht eigentlich nicht in der anleitung.


-j

Wo kommen die Zeilen dann rein?
Bzw. was muss ich dann tun damit das ganze klappt?
Komme aus der Anleitung nicht schlau ..

Besten Dank für die Hilfe.

Jasper
25.04.04, 09:41
Wo kommen die Zeilen dann rein?


die zeilen ergeben ein skript, dass dann die datei ip-block erzeugt. pack die zeilen einfach in '/tmp/blafasel.sh' und führe das skript dann mit 'sh /tmp/blafasel.sh' aus.

allerdings ist das alles etwas umständlich. postfix versteht AFAIK auch die angabe von netzwerkadressen (siehe CIDR_TABLE(5) und ACCESS(5))


-j

WillhelmTell
25.04.04, 14:21
die zeilen ergeben ein skript, dass dann die datei ip-block erzeugt. pack die zeilen einfach in '/tmp/blafasel.sh' und führe das skript dann mit 'sh /tmp/blafasel.sh' aus.

allerdings ist das alles etwas umständlich. postfix versteht AFAIK auch die angabe von netzwerkadressen (siehe CIDR_TABLE(5) und ACCESS(5))


-j

Hallo
Erstmals besten Dank für die Hilfe.
Hab das mit dem Skript gemacht.
Nur funktioniert das ganze noch nicht so wie ich gerne hätte.
Ich hab mal das Sktipt und das IP-block File diesem Post angehängt.
Das Problem ist, dass es mir nicht alle IPs in den gewünschten Bereichen generiert.
Vieleicht weiss ja jemand wie ich das Skript ändern muss ...

CU
WillhelmTell

Terran Marine
25.04.04, 14:29
Hallo
Erstmals besten Dank für die Hilfe.
Hab das mit dem Skript gemacht.
Nur funktioniert das ganze noch nicht so wie ich gerne hätte.
Ich hab mal das Sktipt und das IP-block File diesem Post angehängt.
Das Problem ist, dass es mir nicht alle IPs in den gewünschten Bereichen generiert.
Vieleicht weiss ja jemand wie ich das Skript ändern muss ...

CU
WillhelmTell

Warum machst du es nicht mit einer cidr Tabelle wie Jasper beschrieben hat ?

Geht viel einfacher und ohne das umständliche Skript.

222.0.0.0 REJECT
221.0.0.0 REJECT

etc.

Die man-Page erklärt das ganze auch sehr gut :

http://www.postfix.org/cidr_table.5.html

Gruß
Terran

WillhelmTell
25.04.04, 15:27
Warum machst du es nicht mit einer cidr Tabelle wie Jasper beschrieben hat ?

Geht viel einfacher und ohne das umständliche Skript.

222.0.0.0 REJECT
221.0.0.0 REJECT

etc.

Die man-Page erklärt das ganze auch sehr gut :

http://www.postfix.org/cidr_table.5.html

Gruß
Terran

Cidr_Table sagt mir nichts ... (sorry)
Bitte um Hilfe ..

WillhelmTell
25.04.04, 17:01
Hey besten Dank für eure Hilfe!!
Hat alles geklappt ...

Dankeschööööööön .. :D