[witch]

Весь день искал на форуме пост в котором видел правила для iptables для ограничения кол-ва соединений на 25 порт в единицу времени...

никак не могу найти(уже не знаю какой key world указать).

ткните носом плиз...

[SmokerMan]

$IPTABLES -A FORWARD -i ppp+ -s $UNIVERSE -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SMTP -j REJECT --reject-with i

$IPTABLES -A FORWARD -i ppp+ -s $UNIVERSE -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

 

[sirmax]

а как то же самое на циске сделать? =)

[iMPoSsibLe_iT]

Может и для IPFW у кого-нить есть решение? =)

[photon]

Лучше 25-й порт вообще закрыть на все адреса, кроме популярных бесплатных почтовиков. Кроме того, почти везде поддерживается message submission (587-й порт) и SSL/TLS (465-й).

[Nafanya]

ещё лучше вообще не закрывать, ибо вам никто права не давал ограничивать или как-то взаимодействовать на пользовательский трафик без его согласия.

или я не прав?

[SmokerMan]

Не_прав.

[vitalyb]

Думаю, лучше закрывать 25 порт только если идет перебор IP адресов.

 

$IPSET -N clients_dissmtp_all iptreemap

################
$IPTABLES -N fwd_out_inet_smtp_blocksrc
$IPTABLES -A fwd_out_inet_smtp_blocksrc \
   -m limit --limit 20/minute --limit-burst 2 -j LOG --log-prefix "SMTP BLK" --log-level 7
$IPTABLES -A fwd_out_inet_smtp_blocksrc -j SET --add-set clients_dissmtp_all src


################
$IPTABLES -N fwd_out_inet_smtp_1st
# считаем...
$IPTABLES -A fwd_out_inet_smtp_1st -m recent --name smtp_recent --set
# попался?
$IPTABLES -A fwd_out_inet_smtp_1st -m recent \
   --name smtp_recent --update --seconds 900 --hitcount 15 -j fwd_out_inet_smtp_blocksrc
# ...нет, пропускаем.
$IPTABLES -A fwd_out_inet_smtp_1st -j ACCEPT


################
$IPTABLES -N fwd_out_inet_limit_smtp
# белый список
$IPTABLES -A fwd_out_inet_limit_smtp -d x.x.x.y -j ACCEPT
$IPTABLES -A fwd_out_inet_limit_smtp -d x.x.x.z -j ACCEPT

$IPTABLES -A fwd_out_inet_limit_smtp -m set --set clients_dissmtp_all src -j REJECT

# с этих сетей лимита нет, смотрим abuse, баним вручную
$IPTABLES -A fwd_out_inet_limit_smtp -s x.x.x.x/z -j ACCEPT
$IPTABLES -A fwd_out_inet_limit_smtp -s x.x.x.x/z -j ACCEPT

# первый пакет за N ms для srcip - dstip ?
# да - проверяем сколько таких "первых" было
$IPTABLES -A fwd_out_inet_limit_smtp -m hashlimit \
       --hashlimit 1/hour --hashlimit-burst 1 \
       --hashlimit-mode dstip,srcip --hashlimit-name out_smtp \
       --hashlimit-htable-expire 900000 -j fwd_out_inet_smtp_1st
# нет, smtp трафик между ними уже был - пропускаем.
$IPTABLES -A fwd_out_inet_limit_smtp -j ACCEPT

################

$IPTABLES -A fwd_out_inet_accept -p tcp --dport 25 --tcp-flags SYN,ACK,FIN,RST SYN -j fwd_out_inet_limit_smtp

[Дегтярев Илья]

а как то же самое на циске сделать? =)

pbr на комп с линухом.

[photon]

pbr на комп с линухом.

Незачем держать целую машину с Linux ради одной подобной мелочи. Проще закрыть порт.

[m0xf]

Проще закрыть порт.

В договоре сказано, что 25 порт закрыт? Если нет, то закрывать его нельзя.

[photon]

В договоре сказано, что 25 порт закрыт? Если нет, то закрывать его нельзя.

Про NAT, который ломает некоторые протоколы, и про ограничение broadcast/multicast-трафика там тоже ничего не сказано. Вы еще скажите, что порты Netbios не надо блокировать.

Изменено 27 декабря, 2009 пользователем photon

[Ivan_83]

Конечно не нужно!

Как пользователи себе домой за файлами лазать будут?)

[woddy]

Вы еще скажите, что порты Netbios не надо блокировать.

до чего же некоторым провайдерам нравится вместо того чтоб работать бороться "за мир во всем мире". тогда чего мелочиться, рекомендую оставить только 80 порт

 

[photon]

Конечно не нужно!

Как пользователи себе домой за файлами лазать будут?)

Да, не нужно. Многочисленные уязвимости дискредитировали Netbios и SMB. Для их использования нужна довольно строгая политика безопасности, которую можно обеспечить в сетях организаций, но не в домонетах, где каждый себе на уме. Как правило, наличие открытых на весь Интернет SMB-шар заканчивается взломом пользовательских машин, присоединением их к ботнету и рассылкой того же спама по 25-му порту. Большинство пользователей не имеет представления о безопасности: указывает полный доступ, создает администраторские аккаунты с уязвимыми паролями. А те, кто хоть что-то соображает, вполне способны поставить себе на машину простой HTTP-сервер (например, HFS или Opera Unite).

Изменено 27 декабря, 2009 пользователем photon

[woddy]

Как правило, наличие открытых на весь Интернет SMB-шар заканчивается взломом пользовательских машин, присоединением их к ботнету

вы уверены что вы своим делом занимаетесь?

[photon]

вы уверены что вы своим делом занимаетесь?

Поищите по ключевым словам SMB remote code execution, и я надеюсь, что все станет ясно. Вот одна из последних уязвимостей такого типа: http://www.microsoft.com/technet/security/...n/MS09-001.mspx

Изменено 27 декабря, 2009 пользователем photon

[woddy]

я знаю что такое самба. но вопрос в другом.

[photon]

я знаю что такое самба. но вопрос в другом.

Речь по ссылке вообще-то не о самом протоколе, а о его уязвимостях, приводящих к удаленному выполнению произвольного кода. Вопрос в том, чтобы эффективно предотвращать бешеные пакетрейты от взломанных юзерских машин, которые нагружают оборудование. В сегодняшних сетях со 100-мегабитными абонентскими окончаниями это довольно серьезная проблема. Каждый юзер теоретически может нагенерировать около 200 kpps.

[woddy]

Вопрос в том, чтобы эффективно предотвращать бешеные пакетрейты от взломанных юзерских машин, которые нагружают оборудование.

вы уверены что своим делом занимаетесь?

[photon]

вы уверены что своим делом занимаетесь?

Я-то уверен. А у вас есть что сказать кроме этой фразы или это для накрутки счетчика сообщений?

Изменено 27 декабря, 2009 пользователем photon

[vitalyb]

Я, кажется, понял. Горы спама и до сих пор слышное эхо бластера с кидо - это из-за того, что каждый занимается только своим делом.

 

Шутка :)

 

[sirmax]

а как то же самое на циске сделать? =)

pbr на комп с линухом.

Это костыль, вы не находите? (собственно, потому и спросил что не хочу ставить костыль)

 

2ALL

Может вернемся к техническим вопросам КАК закрывать, а нужно ли - каждый решит тихо сам?

[Kuzmich]

Антимерзостное для ipfw делаем через dummynet.

Использовать 25 порт полностью не запрещаем - одного-двух соединений нормальному человеку вполне достаточно. Но больше - явный признак вируса/спамера.

 

ipfw table 99 bw 4Kbit/s delay 500ms queue 2 buckets 1024 mask src-ip 0xFFFFFFFF

ipfw add XXX pipe 99 tcp from any to any 25,445,139 setup in via em0

 

Если у какого-то адреса в ipfw pipe 99 show показатели зашкаливают - с нам разбираются специально обученные люди и скрипты (трафик в /dev/null, мыло на почту, звонок на контактный телефон, редирект всего HTTP на "Вы-рассадник вируса, спрочно скачайте cureit" и т.д.)

 

Жалоб - единицы, выявленных рассадников - сотни. Даже иногда "спасибо" говорят.

[DpakoH]

Вы еще скажите, что порты Netbios не надо блокировать.

до чего же некоторым провайдерам нравится вместо того чтоб работать бороться "за мир во всем мире". тогда чего мелочиться, рекомендую оставить только 80 порт

 

Типичный приём демагога - доведение до абсурда. 25 порт закрывается всем, а открывается по письменному заявлению (+крупные внешние почтовые сервера). 135, 139,445/tcp и 137,138/udp закрывается всем, как внутри, так и снаружи сети.

 

P.S. Поток abuse-мыла резко сократился после введения этих мер.