Здравствуйте!Есть домашняя сеть приблизительно на 1000 ПК, основной заработок которой интернет.
При подключении к интернет, каждому клиенту выдается приватный IP-адрес, который натится на маршрутизаторе(FreeBSD 5.4) на маршрутизируемый в интернете(реальный) IP.
На маршрутизаторе с клиентов пропускается весь траффик, за исключением того что идет с/на порты 137,138,139,445.
В сети много компьютеров с вирусами. Так как 25 порт не блокируется на маршрутизаторе, то трояны сидящие на пользовательских компах рассылают вирусы, в результате чего во многих RBL наша сеть заблокирована и на многие почтари письма из этой подсети нельзя отправить. Опыт показал, что списываться с администраторами RBL бесполезно, без принятия серьезных мер внутри сети.
Установка своего почтового сервера и принудительная рассылка всех писем через него не решает проблемы, так как почти каждый клиент постоянно использует почтовые ящики на других почтарях. И пользователи будут недовольны таким ограничением.
Делать индувидуальные правила для порта 25 для каждого клиента на фаэрволе не разумно.
Наверняка многие администраторы сталкивались с подобной проблемой.
Как можно снизить или почти исключить рассылку вирусов из сети?
Для Linux-а можно использовать token bucket фильтр
(iptables, опции --limit и --limit-burst)
на новые connect-ы по 25-ому порту для групп|подсетей пользователей
или даже для каждого пользователя индивидуально.
То есть, пользователю разрешается отправлять только
ограниченное кол-во (заданное опцией limit) писем в минуту.
Если же втечение N минут ничего не отправляется,
то в следующую минуту может быть отправлено N*limit писем,
но не более чем кол-во, заданное опцией limit-burst.
Интервалом времени может быть не только минута,
но и секунда, и час.
Для FreeBSD аналогичных средств не знаю.
>Для Linux-а можно использовать token bucket фильтр
>(iptables, опции --limit и --limit-burst)
>на новые connect-ы по 25-ому порту для групп|подсетей пользователей
>или даже для каждого пользователя индивидуально.
>То есть, пользователю разрешается отправлять только
>ограниченное кол-во (заданное опцией limit) писем в минуту.
>Если же втечение N минут ничего не отправляется,
>то в следующую минуту может быть отправлено N*limit писем,
>но не более чем кол-во, заданное опцией limit-burst.
>Интервалом времени может быть не только минута,
>но и секунда, и час.
>Для FreeBSD аналогичных средств не знаю.Интересное предложение.
Но лимиты все равно не спасают от прохождения вирусов. Ведь для того, чтобы залететь в RBL их не так уж и много надо...
На ум приходят два варианта:1. На ip с натом ставится локальный почтовый сервер-релей с фильтрацией вирусов, 25 порт для доступа изнутри наружу закрывается. Все юзеры меняют в настройках мэйлеров адрес smtp сервера на локальный, не изменяя адрес pop3 и imap серверов.
2. Местный почтовый сервер поднимается на ip, отличном от ip с натом. Это может быть либо отдельный компьютер либо MTA в jail-е на ip-алиасе.
>На ум приходят два варианта:
>
>1. На ip с натом ставится локальный почтовый сервер-релей с фильтрацией вирусов,
>25 порт для доступа изнутри наружу закрывается. Все юзеры меняют в
>настройках мэйлеров адрес smtp сервера на локальный, не изменяя адрес pop3
>и imap серверов.
>
>2. Местный почтовый сервер поднимается на ip, отличном от ip с натом.
>Это может быть либо отдельный компьютер либо MTA в jail-е на
>ip-алиасе.Лучше второй вариант
>На ум приходят два варианта:
>
>1. На ip с натом ставится локальный почтовый сервер-релей с фильтрацией вирусов,
>25 порт для доступа изнутри наружу закрывается. Все юзеры меняют в
>настройках мэйлеров адрес smtp сервера на локальный, не изменяя адрес pop3
>и imap серверов.
>
>2. Местный почтовый сервер поднимается на ip, отличном от ip с натом.
>Это может быть либо отдельный компьютер либо MTA в jail-е на
>ip-алиасе.Тоже об этом думал... Но это нарушает свободы пользователей и не все так захотят делать(скажем те, кто пользуеются корпоративной почтой дома, таких процентов 15 минимум наберется)...