[Postfixbuch-users] DNS Auflösung ergibt localhost?
Uwe Driessen
driessen at fblan.de
Do Dez 27 16:59:15 CET 2007
usenet at deiszner.de schrieb:
> Uwe Driessen schrieb:
> > ich filtere bei Fail2ban nicht auf diesen Fehler da Postfix die schon einfach so
> rauswirft
> > mit
> >
> > reject_unknown_reverse_client_hostname,
> > reject_unknown_client_hostname,
> >
>
>
> Hab ich das jetzt richtig in meinem Logfile mitbekommen - diese beiden
> Parameter machen das Filtern mit regulären Ausdrücken auf
>
> connection from [unknown]10.20.30.45
reject_unknown_reverse_client_hostname
Reject the request when the client IP address has no address->name mapping.
This is a weaker restriction than the reject_unknown_client_hostname feature, which
requires not only that the address->name and name->address mappings exist, but also that
the two mappings reproduce the client IP address.
The unknown_client_reject_code parameter specifies the response code for rejected requests
(default: 450). The reply is always 450 in case the address->name lookup failed due to a
temporary problem.
This feature is available in Postfix 2.3 and later.
In addition, you can use any of the following generic restrictions. These restrictions are
applicable in any SMTP command context.
reject_unknown_client_hostname (with Postfix < 2.3: reject_unknown_client)
Reject the request when 1) the client IP address->name mapping fails, 2) the name->address
mapping fails, or 3) the name->address mapping does not match the client IP address.
This is a stronger restriction than the reject_unknown_reverse_client_hostname feature,
which triggers only under condition 1) above.
The unknown_client_reject_code parameter specifies the response code for rejected requests
(default: 450). The reply is always 450 in case the address->name or name->address lookup
failed due to a temporary problem.
Ob flüssig oder nicht das ist ein anderes Thema
Unter Postfix können diese beiden restrictionen eingesetzt werden um die Annahme von
Servern die keinen PTR oder einen fehlerhaften PTR / rDNS haben zu unterbinden
Die Verbindung wird sofort beendet.
Fail2ban verhindert für einen bestimmten Zeitraum das diese IP dann weitere connection
aufbauen.
Im Zusammenspiel das es da IP Adressen gibt die auf localhost (wissen die Götter warum das
jemand so eingetragen hat) auflösen setze ich dafür kein fail2ban ein.
Kommen werden gesehen nicht im DNS gefunden bzw. unknown oder lösen zu einer anderen IP
reverse auf werden sofort abgelehnt und Verbindung beendet und gut ist. Kein zusätzlicher
Speicherverbrauch bzw. Serverlast.
>
> überflüssig?
>
> gruß
>
> Sebastian
Mit freundlichen Grüßen
Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045 Fax: 06708 / 661397
Mehr Informationen über die Mailingliste Postfixbuch-users