Исходное сообщение
"Утилита для блокировки спамеров на шлюзе с пакетным фильтром..." Отправлено XoRe, 09-Июн-09 17:21
>> лучшеб добавили возможность как в pf: max-src-conn-rate N/M, overload table. > >У меня примерно это и делается, только без привязки к конкретному файрволлу, >и с оповещениями+статистикой. > >> можно былоб и спам резать и перебор паролей на ссш/фтп. > >При желании можно дописать spamblock, чтобы он работал с несколькими портами, >но для меня актуален только smtp. В свое время, частично решил проблему с помощью: ipfw allow tcp from any to not me 25 in limit 10 =) limit - динамическая конструкция, поведением динамических правил (устаревание и т.д.) ведает sysctl: sysctl -a | grep dyn От себя могу подкинуть пару идей: - Прозрачный smtp прокси. В свое время это делалось с помощью sendmail и ipfw: forward 127.0.0.1,1025 tcp from any to not me 25 in Спам практически не пропускался. Пока антивирус (clamd) не отваливался =) sendmail (особенно с антивирусом и антиспамом) - это довольно тяжелая штука для такого проксирования) Можно взять nginx - это и smtp прокси, он с этим справится лучше. Ну а конфигурять его можно хорошо. - Анализирование dns запросов от клиентов насчет MX записей. Обычно, от клиентов таких запросов нет. Можно указать tcpdump-у вылавливать такие запросы - это хороший показатель спамботов. - Можно вместо tcpdump использовать ng_bpf из netgraph. Правда там довольно гемморойно передавать строку фильтра, но думаю, работать будет куда быстрее - прямо в ядре. - Ещё в свое время заметил, что пакеты от спамботов имеют окно 24000. Так же можно настроить tcpdump или ng_bpf на отлов таких пакетов.