witch Опубликовано 24 декабря, 2009 · Жалоба Весь день искал на форуме пост в котором видел правила для iptables для ограничения кол-ва соединений на 25 порт в единицу времени... никак не могу найти(уже не знаю какой key world указать). ткните носом плиз... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 24 декабря, 2009 · Жалоба $IPTABLES -A FORWARD -i ppp+ -s $UNIVERSE -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SMTP -j REJECT --reject-with i $IPTABLES -A FORWARD -i ppp+ -s $UNIVERSE -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 26 декабря, 2009 · Жалоба а как то же самое на циске сделать? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iMPoSsibLe_iT Опубликовано 26 декабря, 2009 · Жалоба Может и для IPFW у кого-нить есть решение? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 26 декабря, 2009 · Жалоба Лучше 25-й порт вообще закрыть на все адреса, кроме популярных бесплатных почтовиков. Кроме того, почти везде поддерживается message submission (587-й порт) и SSL/TLS (465-й). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 26 декабря, 2009 · Жалоба ещё лучше вообще не закрывать, ибо вам никто права не давал ограничивать или как-то взаимодействовать на пользовательский трафик без его согласия. или я не прав? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 26 декабря, 2009 · Жалоба Не_прав. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 26 декабря, 2009 · Жалоба Думаю, лучше закрывать 25 порт только если идет перебор IP адресов. $IPSET -N clients_dissmtp_all iptreemap ################ $IPTABLES -N fwd_out_inet_smtp_blocksrc $IPTABLES -A fwd_out_inet_smtp_blocksrc \ -m limit --limit 20/minute --limit-burst 2 -j LOG --log-prefix "SMTP BLK" --log-level 7 $IPTABLES -A fwd_out_inet_smtp_blocksrc -j SET --add-set clients_dissmtp_all src ################ $IPTABLES -N fwd_out_inet_smtp_1st # считаем... $IPTABLES -A fwd_out_inet_smtp_1st -m recent --name smtp_recent --set # попался? $IPTABLES -A fwd_out_inet_smtp_1st -m recent \ --name smtp_recent --update --seconds 900 --hitcount 15 -j fwd_out_inet_smtp_blocksrc # ...нет, пропускаем. $IPTABLES -A fwd_out_inet_smtp_1st -j ACCEPT ################ $IPTABLES -N fwd_out_inet_limit_smtp # белый список $IPTABLES -A fwd_out_inet_limit_smtp -d x.x.x.y -j ACCEPT $IPTABLES -A fwd_out_inet_limit_smtp -d x.x.x.z -j ACCEPT $IPTABLES -A fwd_out_inet_limit_smtp -m set --set clients_dissmtp_all src -j REJECT # с этих сетей лимита нет, смотрим abuse, баним вручную $IPTABLES -A fwd_out_inet_limit_smtp -s x.x.x.x/z -j ACCEPT $IPTABLES -A fwd_out_inet_limit_smtp -s x.x.x.x/z -j ACCEPT # первый пакет за N ms для srcip - dstip ? # да - проверяем сколько таких "первых" было $IPTABLES -A fwd_out_inet_limit_smtp -m hashlimit \ --hashlimit 1/hour --hashlimit-burst 1 \ --hashlimit-mode dstip,srcip --hashlimit-name out_smtp \ --hashlimit-htable-expire 900000 -j fwd_out_inet_smtp_1st # нет, smtp трафик между ними уже был - пропускаем. $IPTABLES -A fwd_out_inet_limit_smtp -j ACCEPT ################ $IPTABLES -A fwd_out_inet_accept -p tcp --dport 25 --tcp-flags SYN,ACK,FIN,RST SYN -j fwd_out_inet_limit_smtp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 26 декабря, 2009 · Жалоба а как то же самое на циске сделать? =) pbr на комп с линухом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 27 декабря, 2009 · Жалоба pbr на комп с линухом. Незачем держать целую машину с Linux ради одной подобной мелочи. Проще закрыть порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m0xf Опубликовано 27 декабря, 2009 · Жалоба Проще закрыть порт. В договоре сказано, что 25 порт закрыт? Если нет, то закрывать его нельзя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 27 декабря, 2009 (изменено) · Жалоба В договоре сказано, что 25 порт закрыт? Если нет, то закрывать его нельзя. Про NAT, который ломает некоторые протоколы, и про ограничение broadcast/multicast-трафика там тоже ничего не сказано. Вы еще скажите, что порты Netbios не надо блокировать. Изменено 27 декабря, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 декабря, 2009 · Жалоба Конечно не нужно! Как пользователи себе домой за файлами лазать будут?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 27 декабря, 2009 · Жалоба Вы еще скажите, что порты Netbios не надо блокировать. до чего же некоторым провайдерам нравится вместо того чтоб работать бороться "за мир во всем мире". тогда чего мелочиться, рекомендую оставить только 80 порт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 27 декабря, 2009 (изменено) · Жалоба Конечно не нужно!Как пользователи себе домой за файлами лазать будут?) Да, не нужно. Многочисленные уязвимости дискредитировали Netbios и SMB. Для их использования нужна довольно строгая политика безопасности, которую можно обеспечить в сетях организаций, но не в домонетах, где каждый себе на уме. Как правило, наличие открытых на весь Интернет SMB-шар заканчивается взломом пользовательских машин, присоединением их к ботнету и рассылкой того же спама по 25-му порту. Большинство пользователей не имеет представления о безопасности: указывает полный доступ, создает администраторские аккаунты с уязвимыми паролями. А те, кто хоть что-то соображает, вполне способны поставить себе на машину простой HTTP-сервер (например, HFS или Opera Unite). Изменено 27 декабря, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 27 декабря, 2009 · Жалоба Как правило, наличие открытых на весь Интернет SMB-шар заканчивается взломом пользовательских машин, присоединением их к ботнету вы уверены что вы своим делом занимаетесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 27 декабря, 2009 (изменено) · Жалоба вы уверены что вы своим делом занимаетесь? Поищите по ключевым словам SMB remote code execution, и я надеюсь, что все станет ясно. Вот одна из последних уязвимостей такого типа: http://www.microsoft.com/technet/security/...n/MS09-001.mspx Изменено 27 декабря, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 27 декабря, 2009 · Жалоба я знаю что такое самба. но вопрос в другом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 27 декабря, 2009 · Жалоба я знаю что такое самба. но вопрос в другом. Речь по ссылке вообще-то не о самом протоколе, а о его уязвимостях, приводящих к удаленному выполнению произвольного кода. Вопрос в том, чтобы эффективно предотвращать бешеные пакетрейты от взломанных юзерских машин, которые нагружают оборудование. В сегодняшних сетях со 100-мегабитными абонентскими окончаниями это довольно серьезная проблема. Каждый юзер теоретически может нагенерировать около 200 kpps. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 27 декабря, 2009 · Жалоба Вопрос в том, чтобы эффективно предотвращать бешеные пакетрейты от взломанных юзерских машин, которые нагружают оборудование. вы уверены что своим делом занимаетесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 27 декабря, 2009 (изменено) · Жалоба вы уверены что своим делом занимаетесь? Я-то уверен. А у вас есть что сказать кроме этой фразы или это для накрутки счетчика сообщений? Изменено 27 декабря, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 28 декабря, 2009 · Жалоба Я, кажется, понял. Горы спама и до сих пор слышное эхо бластера с кидо - это из-за того, что каждый занимается только своим делом. Шутка :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 28 декабря, 2009 · Жалоба а как то же самое на циске сделать? =) pbr на комп с линухом. Это костыль, вы не находите? (собственно, потому и спросил что не хочу ставить костыль) 2ALL Может вернемся к техническим вопросам КАК закрывать, а нужно ли - каждый решит тихо сам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kuzmich Опубликовано 29 декабря, 2009 · Жалоба Антимерзостное для ipfw делаем через dummynet. Использовать 25 порт полностью не запрещаем - одного-двух соединений нормальному человеку вполне достаточно. Но больше - явный признак вируса/спамера. ipfw table 99 bw 4Kbit/s delay 500ms queue 2 buckets 1024 mask src-ip 0xFFFFFFFF ipfw add XXX pipe 99 tcp from any to any 25,445,139 setup in via em0 Если у какого-то адреса в ipfw pipe 99 show показатели зашкаливают - с нам разбираются специально обученные люди и скрипты (трафик в /dev/null, мыло на почту, звонок на контактный телефон, редирект всего HTTP на "Вы-рассадник вируса, спрочно скачайте cureit" и т.д.) Жалоб - единицы, выявленных рассадников - сотни. Даже иногда "спасибо" говорят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DpakoH Опубликовано 29 декабря, 2009 · Жалоба Вы еще скажите, что порты Netbios не надо блокировать. до чего же некоторым провайдерам нравится вместо того чтоб работать бороться "за мир во всем мире". тогда чего мелочиться, рекомендую оставить только 80 порт Типичный приём демагога - доведение до абсурда. 25 порт закрывается всем, а открывается по письменному заявлению (+крупные внешние почтовые сервера). 135, 139,445/tcp и 137,138/udp закрывается всем, как внутри, так и снаружи сети. P.S. Поток abuse-мыла резко сократился после введения этих мер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...