Jump to content
Калькуляторы

ограничение кол-ва соединений ограничение кол-ва соединений 25 порт

Весь день искал на форуме пост в котором видел правила для iptables для ограничения кол-ва соединений на 25 порт в единицу времени...

никак не могу найти(уже не знаю какой key world указать).

ткните носом плиз...

Share this post


Link to post
Share on other sites

$IPTABLES -A FORWARD -i ppp+ -s $UNIVERSE -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SMTP -j REJECT --reject-with i

$IPTABLES -A FORWARD -i ppp+ -s $UNIVERSE -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

 

Share this post


Link to post
Share on other sites

Лучше 25-й порт вообще закрыть на все адреса, кроме популярных бесплатных почтовиков. Кроме того, почти везде поддерживается message submission (587-й порт) и SSL/TLS (465-й).

Share this post


Link to post
Share on other sites

ещё лучше вообще не закрывать, ибо вам никто права не давал ограничивать или как-то взаимодействовать на пользовательский трафик без его согласия.

или я не прав?

Share this post


Link to post
Share on other sites

Думаю, лучше закрывать 25 порт только если идет перебор IP адресов.

 

$IPSET -N clients_dissmtp_all iptreemap

################
$IPTABLES -N fwd_out_inet_smtp_blocksrc
$IPTABLES -A fwd_out_inet_smtp_blocksrc \
   -m limit --limit 20/minute --limit-burst 2 -j LOG --log-prefix "SMTP BLK" --log-level 7
$IPTABLES -A fwd_out_inet_smtp_blocksrc -j SET --add-set clients_dissmtp_all src


################
$IPTABLES -N fwd_out_inet_smtp_1st
# считаем...
$IPTABLES -A fwd_out_inet_smtp_1st -m recent --name smtp_recent --set
# попался?
$IPTABLES -A fwd_out_inet_smtp_1st -m recent \
   --name smtp_recent --update --seconds 900 --hitcount 15 -j fwd_out_inet_smtp_blocksrc
# ...нет, пропускаем.
$IPTABLES -A fwd_out_inet_smtp_1st -j ACCEPT


################
$IPTABLES -N fwd_out_inet_limit_smtp
# белый список
$IPTABLES -A fwd_out_inet_limit_smtp -d x.x.x.y -j ACCEPT
$IPTABLES -A fwd_out_inet_limit_smtp -d x.x.x.z -j ACCEPT

$IPTABLES -A fwd_out_inet_limit_smtp -m set --set clients_dissmtp_all src -j REJECT

# с этих сетей лимита нет, смотрим abuse, баним вручную
$IPTABLES -A fwd_out_inet_limit_smtp -s x.x.x.x/z -j ACCEPT
$IPTABLES -A fwd_out_inet_limit_smtp -s x.x.x.x/z -j ACCEPT

# первый пакет за N ms для srcip - dstip ?
# да - проверяем сколько таких "первых" было
$IPTABLES -A fwd_out_inet_limit_smtp -m hashlimit \
       --hashlimit 1/hour --hashlimit-burst 1 \
       --hashlimit-mode dstip,srcip --hashlimit-name out_smtp \
       --hashlimit-htable-expire 900000 -j fwd_out_inet_smtp_1st
# нет, smtp трафик между ними уже был - пропускаем.
$IPTABLES -A fwd_out_inet_limit_smtp -j ACCEPT

################

$IPTABLES -A fwd_out_inet_accept -p tcp --dport 25 --tcp-flags SYN,ACK,FIN,RST SYN -j fwd_out_inet_limit_smtp

Share this post


Link to post
Share on other sites

pbr на комп с линухом.

Незачем держать целую машину с Linux ради одной подобной мелочи. Проще закрыть порт.

Share this post


Link to post
Share on other sites

Проще закрыть порт.

В договоре сказано, что 25 порт закрыт? Если нет, то закрывать его нельзя.

Share this post


Link to post
Share on other sites

В договоре сказано, что 25 порт закрыт? Если нет, то закрывать его нельзя.

Про NAT, который ломает некоторые протоколы, и про ограничение broadcast/multicast-трафика там тоже ничего не сказано. Вы еще скажите, что порты Netbios не надо блокировать.

Edited by photon

Share this post


Link to post
Share on other sites

Конечно не нужно!

Как пользователи себе домой за файлами лазать будут?)

Share this post


Link to post
Share on other sites
Вы еще скажите, что порты Netbios не надо блокировать.
до чего же некоторым провайдерам нравится вместо того чтоб работать бороться "за мир во всем мире". тогда чего мелочиться, рекомендую оставить только 80 порт

 

Share this post


Link to post
Share on other sites
Конечно не нужно!

Как пользователи себе домой за файлами лазать будут?)

Да, не нужно. Многочисленные уязвимости дискредитировали Netbios и SMB. Для их использования нужна довольно строгая политика безопасности, которую можно обеспечить в сетях организаций, но не в домонетах, где каждый себе на уме. Как правило, наличие открытых на весь Интернет SMB-шар заканчивается взломом пользовательских машин, присоединением их к ботнету и рассылкой того же спама по 25-му порту. Большинство пользователей не имеет представления о безопасности: указывает полный доступ, создает администраторские аккаунты с уязвимыми паролями. А те, кто хоть что-то соображает, вполне способны поставить себе на машину простой HTTP-сервер (например, HFS или Opera Unite).
Edited by photon

Share this post


Link to post
Share on other sites

Как правило, наличие открытых на весь Интернет SMB-шар заканчивается взломом пользовательских машин, присоединением их к ботнету

вы уверены что вы своим делом занимаетесь?

Share this post


Link to post
Share on other sites

вы уверены что вы своим делом занимаетесь?

Поищите по ключевым словам SMB remote code execution, и я надеюсь, что все станет ясно. Вот одна из последних уязвимостей такого типа: http://www.microsoft.com/technet/security/...n/MS09-001.mspx

Edited by photon

Share this post


Link to post
Share on other sites

я знаю что такое самба. но вопрос в другом.

Share this post


Link to post
Share on other sites

я знаю что такое самба. но вопрос в другом.

Речь по ссылке вообще-то не о самом протоколе, а о его уязвимостях, приводящих к удаленному выполнению произвольного кода. Вопрос в том, чтобы эффективно предотвращать бешеные пакетрейты от взломанных юзерских машин, которые нагружают оборудование. В сегодняшних сетях со 100-мегабитными абонентскими окончаниями это довольно серьезная проблема. Каждый юзер теоретически может нагенерировать около 200 kpps.

Share this post


Link to post
Share on other sites

Вопрос в том, чтобы эффективно предотвращать бешеные пакетрейты от взломанных юзерских машин, которые нагружают оборудование.

вы уверены что своим делом занимаетесь?

Share this post


Link to post
Share on other sites

вы уверены что своим делом занимаетесь?

Я-то уверен. А у вас есть что сказать кроме этой фразы или это для накрутки счетчика сообщений?

Edited by photon

Share this post


Link to post
Share on other sites

Я, кажется, понял. Горы спама и до сих пор слышное эхо бластера с кидо - это из-за того, что каждый занимается только своим делом.

 

Шутка :)

 

Share this post


Link to post
Share on other sites
а как то же самое на циске сделать? =)

pbr на комп с линухом.

Это костыль, вы не находите? (собственно, потому и спросил что не хочу ставить костыль)

 

2ALL

Может вернемся к техническим вопросам КАК закрывать, а нужно ли - каждый решит тихо сам?

Share this post


Link to post
Share on other sites

Антимерзостное для ipfw делаем через dummynet.

Использовать 25 порт полностью не запрещаем - одного-двух соединений нормальному человеку вполне достаточно. Но больше - явный признак вируса/спамера.

 

ipfw table 99 bw 4Kbit/s delay 500ms queue 2 buckets 1024 mask src-ip 0xFFFFFFFF

ipfw add XXX pipe 99 tcp from any to any 25,445,139 setup in via em0

 

Если у какого-то адреса в ipfw pipe 99 show показатели зашкаливают - с нам разбираются специально обученные люди и скрипты (трафик в /dev/null, мыло на почту, звонок на контактный телефон, редирект всего HTTP на "Вы-рассадник вируса, спрочно скачайте cureit" и т.д.)

 

Жалоб - единицы, выявленных рассадников - сотни. Даже иногда "спасибо" говорят.

Share this post


Link to post
Share on other sites
Вы еще скажите, что порты Netbios не надо блокировать.
до чего же некоторым провайдерам нравится вместо того чтоб работать бороться "за мир во всем мире". тогда чего мелочиться, рекомендую оставить только 80 порт

 

Типичный приём демагога - доведение до абсурда. 25 порт закрывается всем, а открывается по письменному заявлению (+крупные внешние почтовые сервера). 135, 139,445/tcp и 137,138/udp закрывается всем, как внутри, так и снаружи сети.

 

P.S. Поток abuse-мыла резко сократился после введения этих мер.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this