https://www.opennet.dev/openforum/vsluhforumID3/55640.html Утилита SpamBlock (http://sources.homelink.ru/spamblock/) слушает заданный интерфейс через tcpdump и заносит в ipfw-таблицу клиентов, слишком часто пытающихся открывать сессии на TCP-порт 25. Разрешённая частота обращений к 25 порту задаётся через файл конфигурации. Файрволл ipfw должен содержать правило блокировки 25 порта для IP-адресов, находящихся в указанной таблице. При необходимости spamblock может быть легко приспособлен к любому файрволлу, например, к pf или iptables.<br><br>URL: http://sources.homelink.ru/spamblock/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=22071<br> https://www.opennet.dev/openforum/vsluhforumID3/55640.html#22 Wed, 28 Apr 2010 23:37:51 GMT &gt; что в логи выводит данная утилита? <br><br>Кусок из реальной жизни:<br>...<br>[2009.06.01 11:34:41] 192.168.1.21 457:36430<br>[2009.06.01 11:34:42] 10.11.22.25 1798:36431<br>[2009.06.01 11:34:42] 10.11.22.25 1799:36431<br>[2009.06.01 11:34:42] 10.11.22.25 1800:36431 5:11 10:18 15:30 20:39 60:105 300:525<br>[2009.06.01 11:34:42] Block 10.11.22.25: trap by rule 300:600 ticks:seconds, actually 525 seconds<br>[2009.06.01 11:34:44] 192.168.1.21 458:36433<br>[2009.06.01 11:34:46] 192.168.1.21 459:36435<br>[2009.06.01 11:34:48] 192.168.1.21 460:36437 5:13 10:25 20:50<br>...<br>"457:36430" означает "за 36430 секунд с начала работы Спамблока данный клиент стучался на 25 порт 457 раз".<br><br>"5:13 10:25 20:50" означает - "5 последних обращений на 25 порт произошли в течение 13 секунд, 10 последних обращений - в течение 25 секунд, 20 обращений - за 50 секунд".<br><br>Эта статистика выводится каждый раз, когда фактическое количество становится кратным количеству в соответствующих правилах, т.е. надо п https://www.opennet.dev/openforum/vsluhforumID3/55640.html#21 Wed, 28 Apr 2010 23:23:36 GMT Теперь поддерживаются: pf, ipfw2, iptables, iptables+ipset.<br> https://www.opennet.dev/openforum/vsluhforumID3/55640.html#20 Thu, 11 Feb 2010 09:00:11 GMT Кто знает что в логи выводит данная утилита? Конечно, использование tcpdump Тож смущает..<br> https://www.opennet.dev/openforum/vsluhforumID3/55640.html#19 Wed, 10 Jun 2009 11:03:19 GMT Подобное делали на openbsd (с pf'ом конечно).<br><br>Как вариант (для Linux, например), поставить MTA (exim, который умеет ratelimit, smtp auth-форвардинг), на который заводить весь smtp-трафик и анализировать логи, делая блокировку/перенаправление с помощью fail2ban (умеет дружить с iptables, tcp wripper, ipfw).<br><br>Тем самым, можно выделить не только агрессивные подключения, но и любые неугодные вашей smtp-политике. Плюс проверка на вирусы, etc.<br><br>fail2ban добавит/удалит автоматически (bantime) нужные цепочки (можно определять свои), ну а веб-сервер выдаст предупреждение-заглушку юзеру на обращение по любой ссылке.<br> https://www.opennet.dev/openforum/vsluhforumID3/55640.html#18 Tue, 09 Jun 2009 14:10:25 GMT Не... не ДО или ПОСЛЕ а взамен ;)<br> https://www.opennet.dev/openforum/vsluhforumID3/55640.html#17 Tue, 09 Jun 2009 13:53:33 GMT Прошу воспринимать все предложения не в контексте "это не нужно, ибо уже есть вот".<br>А в контексте "это можно заюзать для улучшения скрипта".<br>=)<br> https://www.opennet.dev/openforum/vsluhforumID3/55640.html#16 Tue, 09 Jun 2009 13:37:15 GMT На самом деле подобных программ много.<br>Вообще использование tcpdump выглядит мягко говоря экзотически.<br><br>Как тут писалось задачу можно решить используя только пакетный фильтр.<br><br>Если нужно больше возможностей по логированию и оповещению, можно воспользоваться внешней программой например http://smtp-proxy.klolik.org/<br><br>Тут уже можно фильтровать по типу аутентификации, частоте и т.п. правда гоняет много данных через юзерспайс ... Защитить программу от доса можно на уровне пакетного фильтра. Кстати при желании можно прикрутить туда антивирус, хотя такая возможность, на мой взгляд, является скорее опасной чем полезной...<br> https://www.opennet.dev/openforum/vsluhforumID3/55640.html#15 Tue, 09 Jun 2009 13:21:02 GMT &gt;&gt; лучшеб добавили возможность как в pf: max-src-conn-rate N/M, overload table.<br>&gt;<br>&gt;У меня примерно это и делается, только без привязки к конкретному файрволлу, <br>&gt;и с оповещениями+статистикой. <br>&gt;<br>&gt;&gt; можно былоб и спам резать и перебор паролей на ссш/фтп.<br>&gt;<br>&gt;При желании можно дописать spamblock, чтобы он работал с несколькими портами, <br>&gt;но для меня актуален только smtp. <br><br>В свое время, частично решил проблему с помощью:<br>ipfw allow tcp from any to not me 25 in limit 10<br>=)<br><br>limit - динамическая конструкция, поведением динамических правил (устаревание и т.д.) ведает sysctl:<br>sysctl -a &#124; grep dyn<br><br>От себя могу подкинуть пару идей:<br><br>- Прозрачный smtp прокси.<br>В свое время это делалось с помощью sendmail и ipfw:<br>forward 127.0.0.1,1025 tcp from any to not me 25 in<br>Спам практически не пропускался.<br>Пока антивирус (clamd) не отваливался =)<br>sendmail (особенно с антивирусом и антиспамом) - это довольно тяжелая штука для такого проксирования)<br>Можно взять nginx - это и smtp прокси, он с этим справи https://www.opennet.dev/openforum/vsluhforumID3/55640.html#14 Tue, 09 Jun 2009 10:08:57 GMT &gt;&gt;а в целом удобно, понятно и просто в отличии ИМХО от iptables<br>&gt;<br>&gt;не осилил, не пались... <br><br>Ну я вот осилил, и что? Всё равно бегу от него как чёрт от ладана. iptables, конечно, предоставляет больше абстрактных возможностей &#8212; зато pf делает то, что требуется, с минимальными потерями. Конечно, можно пользоваться fwbuilder'ом&#8230;<br>