The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

09.06.2009 07:00  Утилита для блокировки спамеров на шлюзе с пакетным фильтром ipfw

Утилита SpamBlock слушает заданный интерфейс через tcpdump и заносит в ipfw-таблицу клиентов, слишком часто пытающихся открывать сессии на TCP-порт 25. Разрешённая частота обращений к 25 порту задаётся через файл конфигурации. Файрволл ipfw должен содержать правило блокировки 25 порта для IP-адресов, находящихся в указанной таблице. При необходимости spamblock может быть легко приспособлен к любому файрволлу, например, к pf или iptables.

  1. Главная ссылка к новости (http://sources.homelink.ru/spa...)
Автор новости: Ilya Evseev
Тип: Программы
Ключевые слова: mail, spam
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Жирный ублюдок DBA, 12:52, 09/06/2009 [ответить] [смотреть все]    [к модератору]
  • +/
    А какой смысл если спамят все равно с ботнетов? :)
     
     
  • 2.4, Ilya Evseev, 13:30, 09/06/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    Мне нужно блокировать зараженные компьютеры в собственной сети домашняя сеть на... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, mitiok, 13:38, 09/06/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    pf block local spambots block drop in quick on int_if proto tcp from spambo... весь текст скрыт [показать]
     
     
  • 4.10, Ilya Evseev, 13:52, 09/06/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Во-первых, у меня не pf Во-вторых, кроме блокировки, делаются уведомления и в... весь текст скрыт [показать]
     
     
  • 5.13, PereresusNeVlezaetBuggy, 14:06, 09/06/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Достаточно мониторить таблицу либо из крона тут хоть шелл-скриптом , либо демо... весь текст скрыт [показать]
     
  • 1.3, netc, 13:15, 09/06/2009 [ответить] [смотреть все]    [к модератору]  
  • +/
    pf - вот это законченное решение

    жалко только, что когда ставишь synproxy  на правило с ssh слущающем к тому, же на tun интерфейсе ssh не работает ;(

    все остальное устраивает

    а в целом удобно, понятно и просто в отличии ИМХО от iptables

    но это моё мнение!

     
     
  • 2.7, Vaso Petrovich, 13:39, 09/06/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    не осилил, не пались ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, netc, 13:46, 09/06/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    1 а что есть решение моей наболевшей проблемы с synproxy и ssh 2 или ты имел ... весь текст скрыт [показать]
     
  • 3.14, PereresusNeVlezaetBuggy, 14:08, 09/06/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну я вот осилил, и что Всё равно бегу от него как чёрт от ладана iptables, кон... весь текст скрыт [показать]
     
  • 2.12, PereresusNeVlezaetBuggy, 14:04, 09/06/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    synproxy нужен только для правил, управляющим проходящими потоками, для TCP-соед... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, mitiok, 13:34, 09/06/2009 [ответить] [смотреть все]    [к модератору]  
  • +/
    имхо маразматично. лучшеб добавили возможность как в pf: max-src-conn-rate N/M, overload table. можно былоб и спам резать и перебор паролей на ссш/фтп. непонятный инструмент...
     
     
  • 2.11, Ilya Evseev, 13:57, 09/06/2009 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > лучшеб добавили возможность как в pf: max-src-conn-rate N/M, overload table.

    У меня примерно это и делается, только без привязки к конкретному файрволлу, и с оповещениями+статистикой.

    > можно былоб и спам резать и перебор паролей на ссш/фтп.

    При желании можно дописать spamblock, чтобы он работал с несколькими портами,
    но для меня актуален только smtp.

     
     
  • 3.15, XoRe, 17:21, 09/06/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В свое время, частично решил проблему с помощью ipfw allow tcp from any to not ... весь текст скрыт [показать]
     
  • 1.16, Arti, 17:37, 09/06/2009 [ответить] [смотреть все]    [к модератору]  
  • +/
    На самом деле подобных программ много.
    Вообще использование tcpdump выглядит мягко говоря экзотически.

    Как тут писалось задачу можно решить используя только пакетный фильтр.

    Если нужно больше возможностей по логированию и оповещению, можно воспользоваться внешней программой например http://smtp-proxy.klolik.org/

    Тут уже можно фильтровать по типу аутентификации, частоте и т.п. правда гоняет много данных через юзерспайс ... Защитить программу от доса можно на уровне пакетного фильтра. Кстати при желании можно прикрутить туда антивирус, хотя такая возможность, на мой взгляд, является скорее опасной чем полезной...

     
  • 1.17, XoRe, 17:53, 09/06/2009 [ответить] [смотреть все]    [к модератору]  
  • +/
    Прошу воспринимать все предложения не в контексте "это не нужно, ибо уже есть вот".
    А в контексте "это можно заюзать для улучшения скрипта".
    =)
     
  • 1.18, Arti, 18:10, 09/06/2009 [ответить] [смотреть все]    [к модератору]  
  • +/
    Не... не ДО или ПОСЛЕ а взамен ;)
     
     
  • 2.19, Anton Kvashin, 15:03, 10/06/2009 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Подобное делали на openbsd (с pf'ом конечно).

    Как вариант (для Linux, например), поставить MTA (exim, который умеет ratelimit, smtp auth-форвардинг), на который заводить весь smtp-трафик и анализировать логи, делая блокировку/перенаправление с помощью fail2ban (умеет дружить с iptables, tcp wripper, ipfw).

    Тем самым, можно выделить не только агрессивные подключения, но и любые неугодные вашей smtp-политике. Плюс проверка на вирусы, etc.

    fail2ban добавит/удалит автоматически (bantime) нужные цепочки (можно определять свои), ну а веб-сервер выдаст предупреждение-заглушку юзеру на обращение по любой ссылке.

     
  • 1.20, medj, 12:00, 11/02/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    Кто знает что в логи выводит данная утилита? Конечно, использование tcpdump Тож смущает..
     
     
  • 2.22, Ilya Evseev, 03:37, 29/04/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Кусок из реальной жизни 2009 06 01 11 34 41 192 168 1 21 457 36430 ... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, Ilya Evseev, 03:23, 29/04/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    Теперь поддерживаются: pf, ipfw2, iptables, iptables+ipset.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor