The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.06.2009 07:00  Утилита для блокировки спамеров на шлюзе с пакетным фильтром ipfw

Утилита SpamBlock слушает заданный интерфейс через tcpdump и заносит в ipfw-таблицу клиентов, слишком часто пытающихся открывать сессии на TCP-порт 25. Разрешённая частота обращений к 25 порту задаётся через файл конфигурации. Файрволл ipfw должен содержать правило блокировки 25 порта для IP-адресов, находящихся в указанной таблице. При необходимости spamblock может быть легко приспособлен к любому файрволлу, например, к pf или iptables.

  1. Главная ссылка к новости (http://sources.homelink.ru/spa...)
Автор новости: Ilya Evseev
Тип: Программы
Ключевые слова: mail, spam
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Жирный ублюдок DBA, 12:52, 09/06/2009 [ответить] [смотреть все]
  • +/
    А какой смысл если спамят все равно с ботнетов? :)
     
     
  • 2.4, Ilya Evseev, 13:30, 09/06/2009 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Мне нужно блокировать зараженные компьютеры в собственной сети домашняя сеть на... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, mitiok, 13:38, 09/06/2009 [^] [ответить] [смотреть все]  
  • +/
    pf block local spambots block drop in quick on int_if proto tcp from spambo... весь текст скрыт [показать]
     
     
  • 4.10, Ilya Evseev, 13:52, 09/06/2009 [^] [ответить] [смотреть все]  
  • +/
    Во-первых, у меня не pf Во-вторых, кроме блокировки, делаются уведомления и в... весь текст скрыт [показать]
     
     
  • 5.13, PereresusNeVlezaetBuggy, 14:06, 09/06/2009 [^] [ответить] [смотреть все]  
  • +/
    Достаточно мониторить таблицу либо из крона тут хоть шелл-скриптом , либо демо... весь текст скрыт [показать]
     
  • 1.3, netc, 13:15, 09/06/2009 [ответить] [смотреть все]  
  • +/
    pf - вот это законченное решение

    жалко только, что когда ставишь synproxy  на правило с ssh слущающем к тому, же на tun интерфейсе ssh не работает ;(

    все остальное устраивает

    а в целом удобно, понятно и просто в отличии ИМХО от iptables

    но это моё мнение!

     
     
  • 2.7, Vaso Petrovich, 13:39, 09/06/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    не осилил, не пались ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, netc, 13:46, 09/06/2009 [^] [ответить] [смотреть все]  
  • +/
    1 а что есть решение моей наболевшей проблемы с synproxy и ssh 2 или ты имел ... весь текст скрыт [показать]
     
  • 3.14, PereresusNeVlezaetBuggy, 14:08, 09/06/2009 [^] [ответить] [смотреть все]  
  • +/
    Ну я вот осилил, и что Всё равно бегу от него как чёрт от ладана iptables, кон... весь текст скрыт [показать]
     
  • 2.12, PereresusNeVlezaetBuggy, 14:04, 09/06/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    synproxy нужен только для правил, управляющим проходящими потоками, для TCP-соед... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, mitiok, 13:34, 09/06/2009 [ответить] [смотреть все]  
  • +/
    имхо маразматично. лучшеб добавили возможность как в pf: max-src-conn-rate N/M, overload table. можно былоб и спам резать и перебор паролей на ссш/фтп. непонятный инструмент...
     
     
  • 2.11, Ilya Evseev, 13:57, 09/06/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > лучшеб добавили возможность как в pf: max-src-conn-rate N/M, overload table.

    У меня примерно это и делается, только без привязки к конкретному файрволлу, и с оповещениями+статистикой.

    > можно былоб и спам резать и перебор паролей на ссш/фтп.

    При желании можно дописать spamblock, чтобы он работал с несколькими портами,
    но для меня актуален только smtp.

     
     
  • 3.15, XoRe, 17:21, 09/06/2009 [^] [ответить] [смотреть все]  
  • +/
    В свое время, частично решил проблему с помощью ipfw allow tcp from any to not ... весь текст скрыт [показать]
     
  • 1.16, Arti, 17:37, 09/06/2009 [ответить] [смотреть все]  
  • +/
    На самом деле подобных программ много.
    Вообще использование tcpdump выглядит мягко говоря экзотически.

    Как тут писалось задачу можно решить используя только пакетный фильтр.

    Если нужно больше возможностей по логированию и оповещению, можно воспользоваться внешней программой например http://smtp-proxy.klolik.org/

    Тут уже можно фильтровать по типу аутентификации, частоте и т.п. правда гоняет много данных через юзерспайс ... Защитить программу от доса можно на уровне пакетного фильтра. Кстати при желании можно прикрутить туда антивирус, хотя такая возможность, на мой взгляд, является скорее опасной чем полезной...

     
  • 1.17, XoRe, 17:53, 09/06/2009 [ответить] [смотреть все]  
  • +/
    Прошу воспринимать все предложения не в контексте "это не нужно, ибо уже есть вот".
    А в контексте "это можно заюзать для улучшения скрипта".
    =)
     
  • 1.18, Arti, 18:10, 09/06/2009 [ответить] [смотреть все]  
  • +/
    Не... не ДО или ПОСЛЕ а взамен ;)
     
     
  • 2.19, Anton Kvashin, 15:03, 10/06/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Подобное делали на openbsd (с pf'ом конечно).

    Как вариант (для Linux, например), поставить MTA (exim, который умеет ratelimit, smtp auth-форвардинг), на который заводить весь smtp-трафик и анализировать логи, делая блокировку/перенаправление с помощью fail2ban (умеет дружить с iptables, tcp wripper, ipfw).

    Тем самым, можно выделить не только агрессивные подключения, но и любые неугодные вашей smtp-политике. Плюс проверка на вирусы, etc.

    fail2ban добавит/удалит автоматически (bantime) нужные цепочки (можно определять свои), ну а веб-сервер выдаст предупреждение-заглушку юзеру на обращение по любой ссылке.

     
  • 1.20, medj, 12:00, 11/02/2010 [ответить] [смотреть все]  
  • +/
    Кто знает что в логи выводит данная утилита? Конечно, использование tcpdump Тож смущает..
     
     
  • 2.22, Ilya Evseev, 03:37, 29/04/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Кусок из реальной жизни 2009 06 01 11 34 41 192 168 1 21 457 36430 ... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, Ilya Evseev, 03:23, 29/04/2010 [ответить] [смотреть все]  
  • +/
    Теперь поддерживаются: pf, ipfw2, iptables, iptables+ipset.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList