Forum: Setki polaczen na port 25

' target='_blank'>Link

25 Listopada 2024 09:30:38

Nawigacja

· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato

Wątki na forum

Najnowsze dyskusje

· DIR868l OFW asus vs ...
· Nowe routery: UX, UC...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1

Najpopularniejsze obecnie wątki

· DIR868l OFW asus ...	[11]
· Nowe routery: UX,...	[0]
· [S] Asus RT-AC56U	[0]

Ankieta

Jaki procesor posiada twój router?

Broadcom MIPSEL

36% [151 głosów]

Broadcom ARM

52% [219 głosów]

Atheros

5% [22 głosów]

Marvell

1% [4 głosów]

Ralink

1% [3 głosów]

Intel/AMD/VIA

1% [5 głosów]

Żaden z powyższych

4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Twoje IP

18.188.175.66

O nie! Gdzie jest JavaScript?
Twoja przeglądarka internetowa nie ma włączonej obsługi JavaScript lub nie obsługuje JavaScript. Proszę włączyć JavaScript w przeglądarce internetowej, aby poprawnie wyświetlić tę witrynę, lub zaktualizować do przeglądarki internetowej, która obsługuje JavaScript.

Zobacz wątek

OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware

Strona 1 z 2: 12

Setki polaczen na port 25
marian3k	#1 Dodano 20-02-2008 18:57
User Posty: 82 Dołączył: 19/12/2006 00:24	Od kilku dni mam pewien problem. W jednej z moich sieci, gdzie uzywam wrt54g v.2 z tomato 1.16 uzytkownicy generuja setki, czesto grubo ppnad tysiac polaczen na port 25. ... Proto Source S Port Destination D Port Class TCP 192.168.1.33 2073 mx3.euronet.nl (194.134.35.236) 25 Medium TCP 192.168.1.33 2273 mailhub.veepee.net (217.195.17.68) 25 Medium TCP 192.168.1.33 2095 bmx0.mail.uk.easynet.net (212.135.6.129) 25 Medium TCP 192.168.1.33 2158 mail555.messagelabs.com (216.82.248.45) 25 Medium TCP 192.168.1.33 3239 mail.global.frontbridge.com (216.32.181.22) 25 Medium TCP 192.168.1.33 2786 dkcphmx20.softcom.dk (194.192.15.177) 25 Medium TCP 192.168.1.33 2584 202.64.83.98 (202.64.83.98) 25 Medium TCP 192.168.1.33 2916 mailmx.bezeqint.net (192.115.106.58) 25 Medium TCP 192.168.1.33 2590 66.29.19.165 (66.29.19.165) 25 Medium TCP 192.168.1.33 3200 dnsmx.cniconsulting.com (69.13.223.168) 25 Medium TCP 192.168.1.33 1838 mx01.itscom.net (219.110.2.136) 25 Medium TCP 192.168.1.33 3233 mail.global.frontbridge.com (216.32.180.22) 25 Medium TCP 192.168.1.33 1943 postetud.uhp-nancy.fr (194.214.217.96) 25 Medium TCP 192.168.1.33 2654 mailmx.bezeqint.net (192.115.106.58) 25 Medium TCP 192.168.1.33 1634 mail555.messagelabs.com (216.82.248.45) 25 Medium TCP 192.168.1.33 3237 smtp1.mke.securence.com (204.11.209.99) 25 Medium TCP 192.168.1.33 1797 relaya.bkom.it (89.190.174.194) 25 Medium TCP 192.168.1.33 3117 dd2122.kasserver.com (85.13.128.216) 25 Medium TCP 192.168.1.33 1789 h.mx.sonic.net (64.142.100.47) 25 Medium TCP 192.168.1.33 3032 dsl1.epa.com.pl (80.55.152.98) 25 Medium TCP 192.168.1.33 1881 mail1.premiersight.com (64.94.61.7) 25 Medium TCP 192.168.1.33 1668 mail.global.frontbridge.com (216.32.181.22) 25 Medium TCP 192.168.1.33 1918 mx2.fprt.com (212.99.15.142) 25 Medium TCP 192.168.1.33 2187 mail.estanplaza.com.br (201.63.90.155) 25 Medium TCP 192.168.1.33 1837 mx01.itscom.net (219.110.2.136) 25 Medium TCP 192.168.1.33 3131 mail553.messagelabs.com (85.158.141.190) 25 Medium TCP 192.168.1.33 2794 cy-wts1.chambery.ensam.fr (194.199.226.222) 25 Medium TCP 192.168.1.33 2014 200.211.85.180 (200.211.85.180) 25 Medium TCP 192.168.1.33 1683 smtpgw.ipsrv.se (194.23.215.6) 25 Medium TCP 192.168.1.33 3124 mail.marriott.com (162.130.196.144) 25 Medium TCP 192.168.1.33 2836 mailblade1.worldispnetwork.com (216.219.94.111) 25 Medium TCP 192.168.1.33 2503 norte.esfera.cl (192.80.24.26) 25 Medium TCP 192.168.1.33 1983 ev1s-209-62-20-188.ev1servers.net (209.62.20.188) 25 Medium ... Powyzej wkleilem kilkadziesiat przykladowych polaczen ze szczegolow QoS tomato, gdzie 25 jako, ze to normalnie ruch do serwerow pocztowych ma priorytet sredni (medium). Oczywiscie nie musze tlumaczyc, ze powoduje to spore problemy, gdyz poczta musi u mnie miec spory priorytet a w tej chwili cos innego rowniez go dostaje. Czy ktos sie juz z tym spotkal i moze pomoc w zwalczeniu robaka Edit: Wlasnie zauwazylem ze ten sam delikwent (192.168.1.33) genruje rozniez setki polaczen na port 53 tym razem UDP. To juz jest jakies przegiecie. Kilka przykladow: Proto Source S Port Destination D Port Class UDP 192.168.1.33 3132 soul.worldy.net (202.123.216.231) 53 Highest UDP 192.168.1.33 3147 i.gtld-servers.net (192.43.172.30) 53 Highest UDP 192.168.1.33 3131 ns1.nic.es (194.69.254.1) 53 Highest UDP 192.168.1.33 2897 pns.ocn.ad.jp (203.139.160.19) 53 Highest UDP 192.168.1.33 3080 b.gtld-servers.net (192.33.14.30) 53 Highest UDP 192.168.1.33 2937 ns-jp.sinet.ad.jp (150.100.2.3) 53 Highest UDP 192.168.1.33 3168 k.gtld-servers.net (192.52.178.30) 53 Highest UDP 192.168.1.33 3123 ns0.networkoverview.com (80.64.48.10) 53 Highest UDP 192.168.1.33 3204 b.ns.sgi.com (192.48.168.15) 53 Highest UDP 192.168.1.33 3004 d.gtld-servers.net (192.31.80.30) 53 Highest UDP 192.168.1.33 3154 tex3d.amd.com (163.181.249.3) 53 Highest UDP 192.168.1.33 3100 ns1.proxad.net (212.27.32.130) 53 Highest UDP 192.168.1.33 3073 d.ns.nic.cz (193.29.206.1) 53 Highest UDP 192.168.1.33 3010 hb008d00.aemcom.net (81.88.224.130) 53 Highest UDP 192.168.1.33 3103 b.ns.interland.net (209.237.137.10) 53 Highest UDP 192.168.1.33 3118 ns0.networkoverview.com (80.64.48.10) 53 Highest UDP 192.168.1.33 3196 ns1.audns.net.au (58.65.255.73) 53 Highest UDP 192.168.1.33 3019 b.ns.interland.net (209.237.137.10) 53 Highest UDP 192.168.1.33 2975 j.gtld-servers.net (192.48.79.30) 53 Highest UDP 192.168.1.33 3172 d.gtld-servers.net (192.31.80.30) 53 Highest UDP 192.168.1.33 2888 213.219.13.131 (213.219.13.131) 53 Highest UDP 192.168.1.33 2977 d.dns.jp (210.138.175.244) 53 Highest UDP 192.168.1.33 2974 j.gtld-servers.net (192.48.79.30) 53 Highest UDP 192.168.1.33 3186 ns2.9services.com (84.96.147.1) 53 Highest UDP 192.168.1.33 2920 f.gtld-servers.net (192.35.51.30) 53 Highest UDP 192.168.1.33 2981 b.gtld-servers.net (192.33.14.30) 53 Highest UDP 192.168.1.33 3171 207.46.163.21 (207.46.163.21) 53 Highest UDP 192.168.1.33 3156 k.gtld-servers.net (192.52.178.30) 53 Highest UDP 192.168.1.33 2877 g.gtld-servers.net (192.42.93.30) 53 Highest UDP 192.168.1.33 3079 d.gtld-servers.net (192.31.80.30) 53 Highest UDP 192.168.1.33 2913 klemmari.kpo.fi (212.116.32.222) 53 Highest UDP 192.168.1.33 3027 auth60.ns.uu.net (198.6.1.181) 53 Highest UDP 192.168.1.33 2891 b.gtld-servers.net (192.33.14.30) 53 Highest UDP 192.168.1.33 2965 ns4.sphere.ad.jp (202.239.113.30) 53 Highest UDP 192.168.1.33 3209 dns2.ucla.edu (164.67.128.2) 53 Highest Pozdrawiam Marian Edytowany przez marian3k dnia 20-02-2008 19:10


stiepa	#2 Dodano 20-02-2008 19:05
User Posty: 65 Dołączył: 01/02/2007 18:33	p2p- zobacz tylko czy z jednego ip czy z kilku jak z jednego to maca usera wrzuc do innej klasy dla danych portów + cięcie ilości udp/s Edytowany przez stiepa dnia 20-02-2008 19:12


robsonn	#3 Dodano 20-02-2008 19:12
OL Maniac Posty: 1337 Dołączył: 04/03/2006 13:35	Niekoniecznie p2p. Równie dobrze wygląda na to, że Twój klient ma mały bałagan na kompie i najprawdopodobniej robi w tej chwilii za komputer zombie (czyt. automatyczny spammer). Możesz ograniczyć temu uzytkownikowi lub wszystkim szybkośc nawiązywania połączeń TCP ogólnie lub na porcie 25 do np. max 5/s co powinno skutecznie ograniczyć liczbę połączeń. Jeśli nie to dodajesz limit połączeń dla tego użytkownika, a dalej niech się sam martwi - będzie zapychać łącze tylko sobie - ewentualnie płatna interwencja i czyszczenie kompa Tomato ... since 0.01 WRT54G v2.2 Tomato 1.10 Turbo WRT54GL v1.0 Tomato 1.07 Turbo PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON WPC11B v4.0 modded peek drivers [b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link


marian3k	#4 Dodano 20-02-2008 19:15
User Posty: 82 Dołączył: 19/12/2006 00:24	Dzieki za blyskawiczna reakcje. Musze to troche poobserwowac. Z tego co do tej pory zauwazylem conajmniej dwoch delikwentow generowale tego typu polaczenia czesto powodujac przeskoczenie magicznej granicy 2048 polaczen zdefiniowanej w GUI i mnostwo bledow w logach: Feb 20 17:29:28 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:28 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:28 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:28 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:28 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:28 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:33 marian3k-elanera2 user.warn kernel: NET: 44 messages suppressed. Feb 20 17:29:33 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:38 marian3k-elanera2 user.warn kernel: NET: 39 messages suppressed. Feb 20 17:29:38 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:43 marian3k-elanera2 user.warn kernel: NET: 47 messages suppressed. Feb 20 17:29:43 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Feb 20 17:29:49 marian3k-elanera2 user.warn kernel: NET: 19 messages suppressed. Feb 20 17:29:49 marian3k-elanera2 user.warn kernel: ip_conntrack: table full, dropping packet. Wszelkie pomoc mile widziana


robsonn	#5 Dodano 20-02-2008 19:23
OL Maniac Posty: 1337 Dołączył: 04/03/2006 13:35	Utwórz dla jego IP limit TCP oraz UDP. (do firewall script) Kod Pobierz kod źródłowy iptables -I FORWARD -p udp -s 192.168.1.33 -j DROP iptables -I FORWARD -p udp -s 192.168.1.33 -m limit --limit 3/s -j ACCEPT iptables -I FORWARD -p tcp -s 192.168.1.33 -j DROP iptables -I FORWARD -p tcp -s 192.168.1.33 -m limit --limit 3/s -j ACCEPT Tomato ... since 0.01 WRT54G v2.2 Tomato 1.10 Turbo WRT54GL v1.0 Tomato 1.07 Turbo PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON WPC11B v4.0 modded peek drivers [b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link


marian3k	#6 Dodano 20-02-2008 19:33
User Posty: 82 Dołączył: 19/12/2006 00:24	Dzieki Robsonn. Zastanawiam sie tylko, czy jest mozliwe zastosowanie zmian w firewall script bez restartu routera?


kolszak	#7 Dodano 20-02-2008 19:50
User Posty: 9 Dołączył: 13/07/2007 19:43	Cytat marian3k napisał/a: Dzieki Robsonn. Zastanawiam sie tylko, czy jest mozliwe zastosowanie zmian w firewall script bez restartu routera? na pewno mozna sie zalogowasc po ssh i dodac te reguly z placa. Jak dodasz do firewall script to potem kliknij w Advanced/Firewall save i regulki sie przebootuja. Karol Olszewski


marian3k	#8 Dodano 20-02-2008 20:05
User Posty: 82 Dołączył: 19/12/2006 00:24	Dzieki chlopaki, od razu lepiej. Ciekawi mnie jeszcze, czy komus udalo sie rozszyfrowac jaka siec P2P powoduje takie rewelacje? Niestety wszystko zarzadzam zdalnie i mam troche ograniczone mozliwosci sniffowania. Co ciekawe delikwent 192.168.1.21 powoduje podobne rewelacje wiec i jego przycialem do 3/s na TCP i UDP. Chyba bede musial wrocic do starego skryptu i wprowadzic ograniczenia polaczen per user. Jakis czas byl spokoj wiec zrezygnowalem z tego.


obsy	#9 Dodano 20-02-2008 20:29
VIP Posty: 5775 Dołączył: 31/10/2006 20:06	http://pl.wikipedia.org/wiki/P2M albo zwykły bootnet/wirus/cokolwiek Masz niepotrzebny ruter, uszkodzony czy nie - ch?tnie przygarn? go. http://eko.one.pl - prawie wszystko o OpenWrt http://openrouter.info


marian3k	#10 Dodano 20-02-2008 20:39
User Posty: 82 Dołączył: 19/12/2006 00:24	Dzieki Obsy. Skladniam sie chyba ku jakiemus robakowi/wirusowi. Tak czy inaczej problem rozwiazany, ograniczylem delikwentom ilosc polaczen i ilosc polaczen tworzonych w ciagu sekundy i problem zniknal. Teraz wystosuje im maile i niech sie sobie przeskanuja kompy jakimis antywirusami i antyspywareami.


obsy	#11 Dodano 20-02-2008 20:43
VIP Posty: 5775 Dołączył: 31/10/2006 20:06	Jeżeli to część jakiegoś systemu spamującego, to wg mnie powinieneś w ogóle wyciąć dostęp do portu 25 dla tego hosta do czasu aż gość nie zrobi z tym czegoś. Bo ten host nadal spamuje, tyle że wolniej... Masz niepotrzebny ruter, uszkodzony czy nie - ch?tnie przygarn? go. http://eko.one.pl - prawie wszystko o OpenWrt http://openrouter.info


marian3k	#12 Dodano 20-02-2008 21:02
User Posty: 82 Dołączył: 19/12/2006 00:24	To fakt. Zrobione.


lotrabbartol	#13 Dodano 20-02-2008 23:59
User Posty: 61 Dołączył: 09/05/2006 16:13	witam mialem podobny problem z portem 25, pomoglo wyciecie portu w Access Restriction dla danego ip, powodem moglbyc spam wirus lub p2m moim zdaniem oczywiscie


NeRii	#14 Dodano 24-02-2008 23:31
User Posty: 31 Dołączył: 02/11/2007 12:42	witam, tez widze ze u mnie w sieci sie cos takiego dzieje, na raznie jeszcze poobserwuje to... ale p2m z tego co sprawdzilem wlasnie i na necie znalazlem dziala na portach http... a tak w ogole to protokol SMTP to jest protokow wysylkowy mail wiec na 90% to nie jest P2M a jakis wir poprawcie mnie jesli sie myle


stiepa	#15 Dodano 25-02-2008 10:41
User Posty: 65 Dołączył: 01/02/2007 18:33	Ja sądze że bliżej mu do tego http://news.torrent.pl/old/p2p/p2pemail_nowe_rozwiazanie_w_udostepnianiu_plikow.html niż do wira


jimmy	#16 Dodano 25-02-2008 14:14
Super User Posty: 464 Dołączył: 15/03/2007 19:13	P2m oferuje dwie możliwości wysyłania danych - po http (dużo częściej wykorzystywana) i smtp. Co do pobierania to chyba praktycznie tylko http. Poza tym popatrz na wolumeny danych jeśli wysyłane są jakieś dziesiątki lub setki MB to w grę wchodzi praktycznie na pewno p2m. To samo z IP docelowymi, jeśli jakiś gmail, o2, wp to też podejrzany jest p2m. Jeśli coś mniejszego lub na inne IP to może być coś innego. Edytowany przez jimmy dnia 25-02-2008 14:15 WRT54 GL v1.1 + Tomato + NetGear 3500L + PAP2T


Yaco	#17 Dodano 25-02-2008 15:42
User Posty: 184 Dołączył: 25/04/2006 12:02	Miałem taki problem z jednym userem na radiu. Mój operator przysłał mi maila ze jak nie przestane rozsyłać niechcianego spamu z mojego adresu to wyłączą mi neta. Więc pierwsze co zrobiłem zablokowałem klientowi Access Restriction port 25 odrazu przestało od niego wysyłać( miał ponad 500 połączeń) Okazało sie że klient ma nieaktualną wersje antywirusa i do tego niezły zawirusowany burdel na kompie, po wgraniu systemu od nowa i zrobieniu porządku wszystko wróciło do normy. WRT54GL v 1.1 DI-707P, DES-1005D, DES-1008D Tomato v1.23.8515 RAF ND http://prawdaxlxpl.wordpress.com/


NeRii	#18 Dodano 25-02-2008 18:06
User Posty: 31 Dołączył: 02/11/2007 12:42	"P2m oferuje dwie możliwości WYSYLANIA danych". Wysylka na P2M zajmuje sie b malo osob... a juz na pewno nie osoba z mojej sieci, ktora na kompie wiele nie umie . A w sieci juz widze ze druga osoba ma cos takiego wiec co raz bardziej mi sie wydaje ze to jakis vir. A dzis zobaczylem znow cos dziwnego i na dodatek z tego samego kompa, mianowicie duzo polaczen na porcie 135 i to jak sprawdzilem domeny to do innych uzytkownikow DSLa a sam mam DSLa. Wiecie co to moze byc? Edytowany przez NeRii dnia 25-02-2008 18:11


robsonn	#19 Dodano 27-02-2008 09:52
OL Maniac Posty: 1337 Dołączył: 04/03/2006 13:35	Porty 135-139 zawsze domyślnie blokuje na routerze Oszczędza to wiele problemów. Pracuje na tych portach usługa netbios (M$ Win), która jest dziurawa jak ser szwajcarski. Większość robali wykorzystuje te porty (Sassery, blastery i wszystkie klony itd.). Tak jak mówiłem to komputer zombie - wystarczy zobaczyć ile połączeń generuje do różnych serwerów pocztowych co sugeruje "masową wysyłkę" zapewne spamu + wirusa w nim. Tak dla zasady wyciąłbym porty 135-139 oraz 445 - oszczędzie ci to problemów. Możesz też sprawdzić w logach jakiego serwera pocztowego używa i przepuścić mu łącznośc na porcie 25 tylko z tym serwerem Tomato ... since 0.01 WRT54G v2.2 Tomato 1.10 Turbo WRT54GL v1.0 Tomato 1.07 Turbo PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON WPC11B v4.0 modded peek drivers [b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link


NeRii	#20 Dodano 27-02-2008 17:10
User Posty: 31 Dołączył: 02/11/2007 12:42	ok thx za help wycialem porty netbiosa wszystkim ale port 25 tylko dla tych dwoch. Jak zobacze ze dzieje sie tak czesciej to wytne tez wszystkim ;P

Strona 1 z 2: 12

Przejdź do forum

Zaloguj

Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?

Aktualnie online

· Gości online: 105

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja

Czat

Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL

06-11-2024 22:37

dzięki !

maxikaaz

29-10-2024 14:27

@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL

26-10-2024 22:07

siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2

04-10-2024 17:34

Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz

04-10-2024 09:38

@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2

30-09-2024 20:53

Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz

27-07-2024 15:07

@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz

27-07-2024 14:55

@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee

25-07-2024 13:33

@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz

25-07-2024 11:38

@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

Archiwum shoutboksa

95,705,835 unikalnych wizyt