Jump to content
Калькуляторы

Выявление пользователей с вирусней, рассылающей спам, а так-же спамеров в сети.

FreeBSD 7.3 Release.

mpd5, ngnat.

Клиенты подключаются посредством pptp. Часть с внешними ip, чась нет (за натом)

Использую spamblock, но в чем проблема, с внешними ипами все просто, а вот с внутренними не получается. Естественно вижу в адресе источника трафика не адрес выдаваемый клиенту, а внешний адрес сервера.

Наверное можно сделать что-то через netgraph, но мало себе представляю как.

 

 

Share this post


Link to post
Share on other sites

Ну так и делаю, видны лишь клиенты с внешними ипами, а те, кто через нат сидят -нет. Вариант с блоком 25 порта вообще не вариант, 1) это дикость и придется прописывать в Ipfw правила для доступа на mail.ru и иже с ними 2) Для теста пробовал блочить и опять-же блочатся прекрасно клиенты с внешним ипом, все кто через NAT спокойно обходят и deny ip from any to any src-port 25:)

Скорее всего можно вычленить нужный трафик через нетграф. Но увы, сложно для меня очень.

Вот пример вывода скрипта спамблоковского, сначала пишет что дескать "Import done. Total 0, readed 0, added 0, deleted 0 blocks."

Затем если подождать выдает вот что:

Стертый ип это и есть внешний адрес этого впн сервера.

 

post-44884-1281346594_thumb.jpg

Edited by wsimons

Share this post


Link to post
Share on other sites

Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG*

Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:)

Share this post


Link to post
Share on other sites
Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG*

Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:)

Это ограничение не spamblock, а tcpdump'a.

Если ему можно указать, что нужно слушать ноду нетграфа или ещё какую-то общую точку, через которую весь трафик проходит до NAT'a - тогда проблемы нет.

В противном случе остаётся только "ipfw add 10 count log logamount 30000 tcp from 10.0.0.0/8 to any 25 setup in" и просмотр /var/log/security.

Share this post


Link to post
Share on other sites

Да, по поводу тисипидампа и спамблока лоханулся, он же как раз тисипидамп использует.

Спасибо. Попробуем.

Share this post


Link to post
Share on other sites

А можете посоветовать как можно аналогичную проблему решить на дебиан?

 

Ситуация похожая, только используется pppoe + nat. Периодически в сети появляются невольные спамеры - абоненты, зараженные вирусякой, рассылающей спам. Сейчас отлавливаем таких пост-фактум, просматривая dnstop (такой спамер создает характерную нагрузку на днс-сервер, т.к. запрашивает большое число хостов за 1 секунду)

 

Блокировать порт 25 нисколько не выход, а разумного ничего в голову не приходит.

Есть правда идея переправлять трафик с 25 порта всех абонентов на локальный relay, который будет фильтровать исходящую почту, но что-то затея кажется слишком уж трудновыполнимой.

Share this post


Link to post
Share on other sites

Mallorn

-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

Share this post


Link to post
Share on other sites
Mallorn

-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

Спасибо, попробую.

Share this post


Link to post
Share on other sites

Я использую для проверки исходящих писем на вирусы и спам программой: smtp-gated

то есть принудительно заворачиваю весь исходящий почтовый трафик на smtp-gated, она анализирует и выполняет нужное вам действие путём выполнения скрипт + так же может блокировать ип адрес, более подробно тут: http://software.klolik.org/smtp-gated/

Share this post


Link to post
Share on other sites
А можете посоветовать как можно аналогичную проблему решить на дебиан?
Я бы сделал так:

1) пустой vlan-интерфейс, который никуда не ведёт,

2) spamblock его слушает,

3) iptables -p tcp --dport 25 -m state --state NEW -j mirror ..в этот vlan

Share this post


Link to post
Share on other sites
Я использую для проверки исходящих писем на вирусы и спам программой: smtp-gated

то есть принудительно заворачиваю весь исходящий почтовый трафик на smtp-gated, она анализирует и выполняет нужное вам действие путём выполнения скрипт + так же может блокировать ип адрес, более подробно тут: http://software.klolik.org/smtp-gated/

А поподробнее можно? В каком месте сети ловите трафик? Какая нагрузка?

Share this post


Link to post
Share on other sites

А поподробнее можно? В каком месте сети ловите трафик? Какая нагрузка?

Ловим на сервере (инет сервер), через который выходят пользователи в Инетрнет ( pptp сервер -> инет сервер -> Интернет), нагрузка минимальная.

Share this post


Link to post
Share on other sites

У меня идут правила iptables, которые при > n сессий по 25 порту сыпят в сислог-нг и реджектят все что открывается > n.

Дальше скриптом разбираю лог и баню попавшимся 25 порт до выяснения.

Share this post


Link to post
Share on other sites
У меня идут правила iptables, которые при > n сессий по 25 порту

сыпят в сислог-нг и реджектят все что открывается > n.

Дальше скриптом разбираю лог и баню попавшимся 25 порт до выяснения.

Использовал аналогичную схему для FreeBSD+ipfw,

но в итоге заменил на собственноручно написанный SpamBlock

из-за более простой конфигурации и более быстрого срабатывания.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this