Hallo zusammen,
bin neu hier, Ubuntu-Amateur, habe mich recht gut eingearbeitet. Ich habe einen Problemfall mit iptables, den ich nicht selbstständig lösen kann. Seit Tagen fällt eine IP im Syslog auf, die beim SASL LOGIN von Postfix abgewiesen wird.
Oct 9 20:52:21 h2850465 postfix/smtpd(25670): connect from unknown[nn.nnnn.38.37] Oct 9 20:52:27 h2850465 postfix/smtpd(25670): warning: unknown[nn.nnn.38.37]: SASL LOGIN authentication failed: ...... Oct 9 20:52:27 h2850465 postfix/smtpd(25670): disconnect from unknown[nn.nnn.38.37] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Ich möchte die IP per iptables sperren:
iptables -A INPUT -s nn.nnn.38.37 -j DROP
Aber wenn ich die iptables-Ausgabe anschaue, steht dort nicht die IP-Adresse, sondern ein Hostname:
DROP all -- ip-38-37.blablabla anywhere
Die bewusste IP-Adresse tarnt sich anscheinend mit einem falschen Namen und kann daher fröhlich weitermachen:
Oct 9 20:52:54 h2850465 postfix/smtpd(25635): warning: hostname ip-38-37.blablabla does not resolve to address nn.nnn.38.37: Name or service not known Oct 9 20:52:54 h2850465 postfix/smtpd(25635): connect from unknown[nn.nnn.38.37] Oct 9 20:52:59 h2850465 postfix/smtpd(25635): warning: unknown[nn.nnn.38.37]: SASL LOGIN authentication failed: .........
Das Problem ist nicht weiter dramatisch, da die IP erfolgreich abgewiesen wird. Aber nicht wie erwartet durch die iptables. Rein aus Neugier interessiert mich, wie ich diese IP komplett aussperren kann? Die Anmeldeversuche erfolgen in Abständen von 30 bis 120 Sekunden. Da kommen pro Tag über 1000 Logeinträge zusammen, was ganz schön nervt. Weiß jemand Rat?