Iptables scheint nicht zu blocken

[xenolf]

Guten Tag,

sollte hier das falsche Unterforum sein entschuldige ich mich gleich im Vorraus.

Nun zu meinem Problem:
Ich habe seit mehreren Tagen das Problem das immer die selbe IP bruteforce Attacken auf meinen POP3-Server ausführt. Da dachte ich mir, gut... bannen wir die IP eben mit IPTables. Gesagt, getan doch die Angriffe hörten nicht auf, IPTables protokolliert zwar das es Zugriffe der besagten IP blockt, doch habe ich immer noch die Meldungen im Mailserver-log wegen fehlgeschlagener Loginversuche.

Nun stellt sich mir natürlich die Frage warum, trotz DROP policy in IPTables, Pakete von dieser IP bis zu meinem Mailserver kommen.

Hatte irgendwer das Problem schonmal oder weiß Rat?

vielen Dank im Vorraus
xen

 

[Roger Wilco]

Es liegt an der dritten Regel in der zweiten Chain von oben.

Logs/Configuration or it didn't happen!

 

[xenolf]

D'oh!

Firewall log:

Nov 26 13:08:30 kernel: [917232.384126] iptables denied: IN=eth0 OUT= MAC=00:19:99:57:b0:6e:00:1b:0d:ef:1e:c0:08:00 SRC=xxx.xxx.xxx.xxx DST=[meine ip] LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=15393 DF PROTO=TCP SPT=1129 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 26 13:08:36 kernel: [917238.027776] iptables denied: IN=eth0 OUT= MAC=00:19:99:57:b0:6e:00:1b:0d:ef:1e:c0:08:00 SRC=xxx.xxx.xxx.xxx DST=[meine ip] LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=16560 DF PROTO=TCP SPT=1516 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0

Mailserver log:

Nov 26 13:08:30 pop3d: Connection, ip=[xxx.xxx.xxx.xxx]
Nov 26 13:08:35 pop3d: IMAP connect from @ [xxx.xxx.xxx.xxx]checkmailpasswd: FAILED: mailscanner - short names not allowed from @ [xxx.xxx.xxx.xxx]ERR:
LOGIN FAILED, ip=[xxx.xxx.xxx.xxx]
Nov 26 13:08:36 pop3d: LOGOUT, ip=[xxx.xxx.xxx.xxx]

Iptables hat nur die Regel zum droppen von Paketen der einen IP da ich vorgeschaltet noch eine Hardwarefirewall habe die alles blockt außer Ports die ich zulasse (110 in dem Fall).

 

[Firewire2002]

Dann poste doch die vollständigen IPTables mal.