Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Supuesto ataque ddos interno

    Scheduled Pinned Locked Moved Español
    10 Posts 3 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      will23b
      last edited by

      saludos

      necesito un poco de ayuda en el siguiente caso, actualmente tengo la siguiente configuracion:

      router proveedor–---pfsense-------router inalambrico-------n clientes

      en el pfsense tengo bloqueado puertos 25-110-995...etc...solo les doy navegacion a los usuarios por el 80, pero he detectado que un supuesto ataque de ddos que han estado realizando hacia afuera por medio de la anterior configuracion saliendo por el 80, como puedo mitigar eso en el firewall o como lo podria hacer.

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        en el pfsense tengo bloqueado puertos 25-110-995…etc...solo les doy navegacion a los usuarios por el 80

        No entiendo muy bien cómo manejas las reglas. En principio está todo negado, salvo lo que autorices. Por eso inicialmente hay una regla default que permite todo, la cual conviene desactivar.

        que han estado realizando hacia afuera por medio de la anterior configuracion saliendo por el 80

        ¿Saliendo por el 80? ¿O yendo a un 80 como destino? No entiendo muy bien.

        Por favor, postea datos más específicos.

        1 Reply Last reply Reply Quote 0
        • W
          will23b
          last edited by

          bueno el problema que me da es q esta saliendo por el puerto 80 aparentemente, segun spamhaus.org es una especie de spam que sale por el puerto 80 realizando ataques por ese puierto, aunque da nombre de virus variados que pueden salir por el puerto 25, ahora mi pregunta es si hay la posibilidad de controlar el puerto 25 que para mi es la salida del ataque….

          mi otra pregunta es si hay alguna herramienta como el iptraf que permite ver la cantidad de paquetes que envian los clientes hacia el server

          1 Reply Last reply Reply Quote 0
          • W
            will23b
            last edited by

            o si se podria aplicar el spamd para la salida de las peticiones del puerto 25

            1 Reply Last reply Reply Quote 0
            • pttP
              ptt Rebel Alliance
              last edited by

              Talvez con el paquete "ntop" puedas analizar el tema, y hallar al "culpable"…..

              1 Reply Last reply Reply Quote 0
              • W
                will23b
                last edited by

                ok gracias….ya lo implementare

                1 Reply Last reply Reply Quote 0
                • W
                  will23b
                  last edited by

                  instale ntop ..pero el servicio en la la direccion x.x.x.x:3000 no carga…..pero veo el servicio del ntop corriendo, alguna ayuda por favor

                  1 Reply Last reply Reply Quote 0
                  • W
                    will23b
                    last edited by

                    ya vi el problema…el ntop cogio la interface wan del pf ....ya estoy viendo como la cambio a la LAN

                    1 Reply Last reply Reply Quote 0
                    • belleraB
                      bellera
                      last edited by

                      Sigo sin entender qué instalación tienes… Si tu IP pública figura como spammer en http://www.spamhaus.org/ debes tener alguna de estas situaciones:

                      1. Clientes de correo (Outlook, ThunderBird...) enviando (masivamente) a cuentas en servidores SMTP.
                      2. Servidor de correo SMTP enlazando (masivamente) con SMTP en internet.
                      3. Equipos con algún virus que está realizando envíos masivos hacia servidores SMTP.

                      SMTP es TCP 25 en modo normal.

                      Revisa entonces qué emplean/necesitan y están haciendo tus usuarios con la emisión de correo.

                      No sé si puedes plantearte o no que nadie pueda enviar directamente correo a un SMTP. En mi lugar habitual de trabajo esto es así desde hace más de 10 años. Los usuarios están obligados a emplear correo web y en los casos que esto no puede ser (correos emitidos por servidores, fotocopiadoras...) hago pasar el correo por un servidor de correo que sólo se dedica a eso y está "bajo control".

                      La emisión de correo es muy problemática y hay que tenerla muy bien controlada.

                      1 Reply Last reply Reply Quote 0
                      • W
                        will23b
                        last edited by

                        efectivamente asi esta….pero sucede que alguna maquina tiene un virus en la red wifi y es la que emitia el ataque tanto en el puerto 25 como al 80.....ya mitigue esos ataques en los equipos bases de la red wifi, dandoles controles en el firewall....y se detecto desde donde estan saliendo.....gracias por la ayuda...el ntop ayudo bastante.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.