Я получаю электронные письма от CSF каждый раз, когда он кого-то блокирует. Вот одно, которое я получил сегодня утром:
Time: Sat Jan 19 10:17:24 2013 -0800
IP: <REDACTED> (US/United States/-)
Hits: 21
Blocked: Temporary Block
Sample of block hits:
Jan 19 10:16:28 red kernel: [6727856.279786] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=<REDACTED> DST=<REDACTED> LEN=48 TOS=0x00 PREC=0x00 TTL=52 ID=47609 DF PROTO=TCP SPT=40954 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 19 10:16:30 red kernel: [6727858.716317] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=<REDACTED> DST=<REDACTED> LEN=64 TOS=0x00 PREC=0x00 TTL=52 ID=40975 DF PROTO=TCP SPT=43688 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 19 10:16:31 red kernel: [6727859.809269] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=<REDACTED> DST=<REDACTED> LEN=64 TOS=0x00 PREC=0x00 TTL=52 ID=56375 DF PROTO=TCP SPT=43688 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
..... (It continues on with more of the same)
Я читаю это так, что этот конкретный IP-адрес (SRC, верно?) Был заблокирован из-за чрезмерного количества обращений к порту 587 (DPT, верно?) (Который является SMTP). Я прав? Есть ли еще какие-то важные моменты, которые я должен уметь читать? Google не помогал, когда я пытался научиться расшифровывать эти вещи.
И затем вопрос интерпретации: это IP моего делового партнера. Он говорит, что в то время не отправлял никаких электронных писем. Какие-нибудь теории о том, что может происходить?
Как вы видели, кто-то пытался подключить ваш сервер к порту 587 с неверными данными для входа, поэтому csf / lfd заблокировал этот IP-адрес.
Точно так же, как у вашего партнера могут быть неправильные попытки для cpanel / mail, а IP заблокировал, вы можете проверить то же самое:
csf -g (IP партнера)
или
grep (IP партнера) / etc / csf / *
и если вы видите запись в csf.deny или csf.tempip, удалите эту запись, чтобы разблокировать этот ip.