wsimons Posted August 9, 2010 Posted August 9, 2010 FreeBSD 7.3 Release. mpd5, ngnat. Клиенты подключаются посредством pptp. Часть с внешними ip, чась нет (за натом) Использую spamblock, но в чем проблема, с внешними ипами все просто, а вот с внутренними не получается. Естественно вижу в адресе источника трафика не адрес выдаваемый клиенту, а внешний адрес сервера. Наверное можно сделать что-то через netgraph, но мало себе представляю как. Вставить ник Quote
wsimons Posted August 9, 2010 Author Posted August 9, 2010 (edited) Ну так и делаю, видны лишь клиенты с внешними ипами, а те, кто через нат сидят -нет. Вариант с блоком 25 порта вообще не вариант, 1) это дикость и придется прописывать в Ipfw правила для доступа на mail.ru и иже с ними 2) Для теста пробовал блочить и опять-же блочатся прекрасно клиенты с внешним ипом, все кто через NAT спокойно обходят и deny ip from any to any src-port 25:) Скорее всего можно вычленить нужный трафик через нетграф. Но увы, сложно для меня очень. Вот пример вывода скрипта спамблоковского, сначала пишет что дескать "Import done. Total 0, readed 0, added 0, deleted 0 blocks." Затем если подождать выдает вот что: Стертый ип это и есть внешний адрес этого впн сервера. Edited August 9, 2010 by wsimons Вставить ник Quote
wsimons Posted August 9, 2010 Author Posted August 9, 2010 Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG* Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:) Вставить ник Quote
Ilya Evseev Posted August 11, 2010 Posted August 11, 2010 Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG*Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:) Это ограничение не spamblock, а tcpdump'a.Если ему можно указать, что нужно слушать ноду нетграфа или ещё какую-то общую точку, через которую весь трафик проходит до NAT'a - тогда проблемы нет. В противном случе остаётся только "ipfw add 10 count log logamount 30000 tcp from 10.0.0.0/8 to any 25 setup in" и просмотр /var/log/security. Вставить ник Quote
wsimons Posted August 11, 2010 Author Posted August 11, 2010 Да, по поводу тисипидампа и спамблока лоханулся, он же как раз тисипидамп использует. Спасибо. Попробуем. Вставить ник Quote
Mallorn Posted August 27, 2010 Posted August 27, 2010 А можете посоветовать как можно аналогичную проблему решить на дебиан? Ситуация похожая, только используется pppoe + nat. Периодически в сети появляются невольные спамеры - абоненты, зараженные вирусякой, рассылающей спам. Сейчас отлавливаем таких пост-фактум, просматривая dnstop (такой спамер создает характерную нагрузку на днс-сервер, т.к. запрашивает большое число хостов за 1 секунду) Блокировать порт 25 нисколько не выход, а разумного ничего в голову не приходит. Есть правда идея переправлять трафик с 25 порта всех абонентов на локальный relay, который будет фильтровать исходящую почту, но что-то затея кажется слишком уж трудновыполнимой. Вставить ник Quote
pliskinsad Posted August 27, 2010 Posted August 27, 2010 Mallorn -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable Вставить ник Quote
Mallorn Posted August 28, 2010 Posted August 28, 2010 Mallorn -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable Спасибо, попробую. Вставить ник Quote
polmax Posted August 28, 2010 Posted August 28, 2010 Я использую для проверки исходящих писем на вирусы и спам программой: smtp-gated то есть принудительно заворачиваю весь исходящий почтовый трафик на smtp-gated, она анализирует и выполняет нужное вам действие путём выполнения скрипт + так же может блокировать ип адрес, более подробно тут: http://software.klolik.org/smtp-gated/ Вставить ник Quote
Ilya Evseev Posted August 28, 2010 Posted August 28, 2010 А можете посоветовать как можно аналогичную проблему решить на дебиан?Я бы сделал так:1) пустой vlan-интерфейс, который никуда не ведёт, 2) spamblock его слушает, 3) iptables -p tcp --dport 25 -m state --state NEW -j mirror ..в этот vlan Вставить ник Quote
StSphinx Posted August 29, 2010 Posted August 29, 2010 Я использую для проверки исходящих писем на вирусы и спам программой: smtp-gatedто есть принудительно заворачиваю весь исходящий почтовый трафик на smtp-gated, она анализирует и выполняет нужное вам действие путём выполнения скрипт + так же может блокировать ип адрес, более подробно тут: http://software.klolik.org/smtp-gated/ А поподробнее можно? В каком месте сети ловите трафик? Какая нагрузка? Вставить ник Quote
polmax Posted August 29, 2010 Posted August 29, 2010 А поподробнее можно? В каком месте сети ловите трафик? Какая нагрузка? Ловим на сервере (инет сервер), через который выходят пользователи в Инетрнет ( pptp сервер -> инет сервер -> Интернет), нагрузка минимальная. Вставить ник Quote
6PATyCb Posted September 1, 2010 Posted September 1, 2010 У меня идут правила iptables, которые при > n сессий по 25 порту сыпят в сислог-нг и реджектят все что открывается > n. Дальше скриптом разбираю лог и баню попавшимся 25 порт до выяснения. Вставить ник Quote
Ilya Evseev Posted September 1, 2010 Posted September 1, 2010 У меня идут правила iptables, которые при > n сессий по 25 портусыпят в сислог-нг и реджектят все что открывается > n. Дальше скриптом разбираю лог и баню попавшимся 25 порт до выяснения. Использовал аналогичную схему для FreeBSD+ipfw,но в итоге заменил на собственноручно написанный SpamBlock из-за более простой конфигурации и более быстрого срабатывания. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.