wir nutzen im Netzwerk David.fx von Tobit als Mail-Lösung.
Als zusätzlichen Dienst haben wir den integrierten Spamfilter am laufen. Dieser baut eine TCP-Verbindung zu *.expurgate.net (Host variiert) auf Port 55555 auf, um die erhaltenen E-Mails auf Spam zu überprüfen.
Jetzt gibt es bei uns eine Regel:
Wobei die Dienstgruppe spamfilter den DienstGrp-Mailserver -> Internet: spamfilter, Accept, Log=Long
enthält.tcp 1024:65535 -> 55555
Wenn ich ins Protokoll schaue, habe ich folgende Einträge:
Code: Alles auswählen
Aug 21 11:15:02 1.1.1.1 Firewall ACCEPT IN=eth1 OUT=ppp0 SRC=192.168.143.10 DST=195.190.135.41
LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=31316 DF PROTO=TCP SPT=1238 DPT=55555 WINDOW=64378 RES=0x00 ACK URGP=0
Aug 21 11:15:02 1.1.1.1 Firewall ACCEPT IN=ppp0 OUT=eth1 SRC=195.190.135.41 DST=192.168.143.10
LEN=1165 TOS=0x00 PREC=0x00 TTL=54 ID=59133 DF PROTO=TCP SPT=55555 DPT=1238 WINDOW=6432 RES=0x00 ACK PSH URGP=0
Jetzt habe ich aber auch solche Einträge dazwischen:
Code: Alles auswählen
Aug 21 11:15:04 1.1.1.1 Firewall DROP IN=eth1 OUT=ppp0 SRC=192.168.143.10 DST=194.145.224.52
LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=31842 DF PROTO=TCP SPT=4841 DPT=55555 WINDOW=65495 RES=0x00 ACK FIN URGP=0
Aug 21 11:15:08 1.1.1.1 Firewall DROP IN=eth1 OUT=ppp0 SRC=192.168.143.10 DST=194.145.224.52
LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=32202 DF PROTO=TCP SPT=4841 DPT=55555 WINDOW=65495 RES=0x00 ACK FIN URGP=0
Aug 21 11:16:04 1.1.1.1 Firewall DROP IN=eth1 OUT=ppp0 SRC=192.168.143.10 DST=194.145.224.52
LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1471 DF PROTO=TCP SPT=4841 DPT=55555 WINDOW=65495 RES=0x00 ACK FIN URGP=0
Und meine Regel greift ja für "any" und ist die erste Regel in der Liste.
Hat irgendjemand eine Idee, warum die Pakete gefiltert wurden? Ich bin echt ratlos.