Кто-нить реализовывал сабж? Так задолбали клиенты со своими NetSky-ями и т.п. гадостью. Умудряются за день до гига всякого дерьма напосылать. Блокировать по отдельности пробовал - очень муторно, а автоматом сделать сложно. Стоит FreeBSD+Exim+ClamAV, т.е. мой сервер фильтрует все вирусы на ура, да попробуй заставь NetSky через него ходить(заблокировать 25-й порт наружу - не вариант, ОДНОЗНАЧНО). В принципе я так понимаю ничего сложного тут нету, надо запустить второй natd 'наизнанку' и посылать весь исходящий на 25-й порт траффик в localhost. Вопрос: какие могут быть при этом проблемы? Не умрет ли exim+clamav если его атакуют скажем десяток машин зараженных NetSky-ем? Не будет ли проблем с какими-нить нестандартными прогами которые по SMTP работают?
Заблокировать 25 порт наружу - самый правильный вариант. Нехрен им 25 портом наруже делать. Настрой онли для своих клиентов релеинг на своем почтовом серваке, пропиши smtp сервером свой релей и пускай он релеит им хоть мылору, хоть яндексовую почту, хоть хотмыловскую. Возрадуйся от достигнутого результата. Второй очередью идешь и решаешь проблемы у клиентов вычищая дерьмо с тачек и ставя антивирусный софт и нужные заплаты, если это вообще технически возможно. В третью очередь берешь дубину и идешь к клиентам проводить воспитательную работу.
>Заблокировать 25 порт наружу - самый правильный вариант. Нехрен им 25 портом
>наруже делать. Настрой онли для своих клиентов релеинг на своем почтовом
>серваке, пропиши smtp сервером свой релей и пускай он релеит им
>хоть мылору, хоть яндексовую почту, хоть хотмыловскую. Возрадуйся от достигнутого результата.
>Второй очередью идешь и решаешь проблемы у клиентов вычищая дерьмо с
>тачек и ставя антивирусный софт и нужные заплаты, если это вообще
>технически возможно. В третью очередь берешь дубину и идешь к клиентам
>проводить воспитательную работу.Вариант может и правильный, но к сожалению в данном случае не приемлемый :-( Вычистить все дерьмо практически невозможно, даже если это один раз и сделать все равно через пару дней оно появится снова, а конторы все сторонние, поэтому бесплатно чистить им вирусы никто не будет - это дело ИХ сисадминов, но уж не как не админов провайдера. Однако массовые рассылки вирусов это здездец, поэтому и был придуман вариант с прозрачным проксированием через свой релей, как наиболее безболезненный. Кто-нить это реализовывал? Как реализовать - я знаю, вопрос в надежность и гибкости такого решения.
Может поделишься своим знанием ?;)
>Может поделишься своим знанием ?;)Принцип такой: запускаешь второй natd c такими, например параметрами:
/sbin/natd -p 8669 -proxy_only -proxy_rule port 25 server ${ext_ip}:25
(Если дивертить будешь на внутреннем интерфейсе то надо добавить -reverse)
После этого нужно в ipfw сделать так чтобы траффик на/с 25 tcp-порт дивертился через nat на 8669, и только(!) через него. Вообщем-то это основная сложность и есть. Если траффик сдивертится дважды, тогда и адрес отправки у него перепишется, что не есть хорошо.
> Если траффик сдивертится дважды, тогда и адрес
>отправки у него перепишется, что не есть хорошо.А еще можешь посмотреть в сторону
http://assp.sourceforge.net/
что бы не грузить exim промежуточным трафиком...imho можно промежуточнй smtp-трафик заворачивать и на другой порт ;)
Есть еще один политический вопрос:
провайдер - продает трафик. и в этом его ком. выгода. если ты введешь контроль за траф. - то не введешь ли свою компанию в убытки ..;)))
Хотя ... все зависит от вашей системы билинга...;)
>Есть еще один политический вопрос:
> провайдер - продает трафик. и в этом его ком.
>выгода. если ты введешь контроль за траф. - то не введешь
>ли свою компанию в убытки ..;)))
> Хотя ... все зависит от вашей системы билинга...;)
В принципе можно сделать чтобы этот траффик тоже считался, но гемморно.Т.к. вирусы РАССЫЛАЮТСЯ, то траффик в основном исходящий(бесплатный), и входящий при этом мизерный. Но зато когда divert IP блокируют все основные почтовые службы типа mail.ru, mtu-net.ru и др. клиенты начинают звонить мне и качать права, и им до 3.14зды что я к mail.ru вообще никакого отношения не имею...