Перейти к содержанию
vangoog

IMSS. Проблемы с добавлением/удалением адресов в Blocked List

Recommended Posts

vangoog

Здравствуйте.

Наблюдается вот такая проблема.

Добавляю IP адрес в Blocked List через IMSS management console. Захожу на машину с этим адресом.

Успешно устанавливаю соединение с почтовой системой. Переггружаю ОС на почтовой системе, блокировка по

IP-адресу начинает работать. Аналогично обстоят дела с удалением адреса из Blocked List. Изменения

наблюдаются только после перезагрузки системы.

Среда:

IMSS 7.0 на SUSE Linux Enterprise Server 10

Цепочка приема сообщений: FoxProxy (in 25) -> PostFix (in XXX)X -> IMSS ( in YYYY)

БД: Postgress

Из имеющейся у меня документации пока не понял всю цепочку от ввода адреса в Blocked List через консоль управления до

доступности адрес FoxProxy

Спасибо всем, кто дочитал =)

Владимир

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков

Здравствуйте Владимир,

Установите последние обновления для IMSS 7.0,сейчас это

InterScan Messaging Security Suite for Linux v7.0 Service Pack 1 и InterScan Messaging Security Suite for Linux v7.0 Patch 1 for Service Pack 1 (build 3216), доступные здесь http://www.trendmicro.com/download/product.asp?productid=12

Если это не решит проблему, тогда вам стоит обратиться в тех. поддержку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Для ведения белых (черных) списков есть другой подход. Можно зайти на панель самого сервиса ERS.

Это делается через сайт https://securecloud.com/

Там можно рулить не просто белыми/черными списками IP-адресов, но и оперировать целыми странами и/или провайдерами!

Фактически вы "намекаете" сервису на какие вопросы, какие ответы вы хотите получать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков

Можно так же зайти на панель ERS по следующей ссылке: https://ers.nssg.trendmicro.com/index.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vangoog

Спасибо за ответы. Добавить во внешние базы, конечно, хорошо. Но локальные базы тоже нужны,

дабы заносить в них адреса, отнесенные к Suspicious IP

Если кто знает, какие логи надо посмотреть на предмет путешествия информации об IP от консоли управления

до базы, просьба откликнуться

Владимир

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vangoog

Дабы закрыть тему. Проблему решена установкой патча1 к SP1.

Для тех кому интересно: ip-адреса попадают в зону db.all.foxhunter.trendmicro.com на той машине,

где живет IMSS

FoxProxy проверяет наличие обратной записи в этой зоне для адреса с которого установлено соединение.

Если IN A имеется то выдается отлуп с кодом 421, если IN A равна 127.0.5.2, и с кодом 554, если IN A равна 127.0.5.3

Спасибо Андрею Володенкову за совет и пояснения по реализации механизма ipfiltering в imss для linux

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
    • SQx
      В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
      Но было бы не плохо в uVS логах идентифицировать такие случае.
×