Перейти к содержимому
Калькуляторы

Выявление пользователей с вирусней, рассылающей спам, а так-же спамеров в сети.

FreeBSD 7.3 Release.

mpd5, ngnat.

Клиенты подключаются посредством pptp. Часть с внешними ip, чась нет (за натом)

Использую spamblock, но в чем проблема, с внешними ипами все просто, а вот с внутренними не получается. Естественно вижу в адресе источника трафика не адрес выдаваемый клиенту, а внешний адрес сервера.

Наверное можно сделать что-то через netgraph, но мало себе представляю как.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так и делаю, видны лишь клиенты с внешними ипами, а те, кто через нат сидят -нет. Вариант с блоком 25 порта вообще не вариант, 1) это дикость и придется прописывать в Ipfw правила для доступа на mail.ru и иже с ними 2) Для теста пробовал блочить и опять-же блочатся прекрасно клиенты с внешним ипом, все кто через NAT спокойно обходят и deny ip from any to any src-port 25:)

Скорее всего можно вычленить нужный трафик через нетграф. Но увы, сложно для меня очень.

Вот пример вывода скрипта спамблоковского, сначала пишет что дескать "Import done. Total 0, readed 0, added 0, deleted 0 blocks."

Затем если подождать выдает вот что:

Стертый ип это и есть внешний адрес этого впн сервера.

 

post-44884-1281346594_thumb.jpg

Изменено пользователем wsimons

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG*

Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG*

Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:)

Это ограничение не spamblock, а tcpdump'a.

Если ему можно указать, что нужно слушать ноду нетграфа или ещё какую-то общую точку, через которую весь трафик проходит до NAT'a - тогда проблемы нет.

В противном случе остаётся только "ipfw add 10 count log logamount 30000 tcp from 10.0.0.0/8 to any 25 setup in" и просмотр /var/log/security.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, по поводу тисипидампа и спамблока лоханулся, он же как раз тисипидамп использует.

Спасибо. Попробуем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можете посоветовать как можно аналогичную проблему решить на дебиан?

 

Ситуация похожая, только используется pppoe + nat. Периодически в сети появляются невольные спамеры - абоненты, зараженные вирусякой, рассылающей спам. Сейчас отлавливаем таких пост-фактум, просматривая dnstop (такой спамер создает характерную нагрузку на днс-сервер, т.к. запрашивает большое число хостов за 1 секунду)

 

Блокировать порт 25 нисколько не выход, а разумного ничего в голову не приходит.

Есть правда идея переправлять трафик с 25 порта всех абонентов на локальный relay, который будет фильтровать исходящую почту, но что-то затея кажется слишком уж трудновыполнимой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mallorn

-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mallorn

-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

Спасибо, попробую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я использую для проверки исходящих писем на вирусы и спам программой: smtp-gated

то есть принудительно заворачиваю весь исходящий почтовый трафик на smtp-gated, она анализирует и выполняет нужное вам действие путём выполнения скрипт + так же может блокировать ип адрес, более подробно тут: http://software.klolik.org/smtp-gated/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можете посоветовать как можно аналогичную проблему решить на дебиан?
Я бы сделал так:

1) пустой vlan-интерфейс, который никуда не ведёт,

2) spamblock его слушает,

3) iptables -p tcp --dport 25 -m state --state NEW -j mirror ..в этот vlan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я использую для проверки исходящих писем на вирусы и спам программой: smtp-gated

то есть принудительно заворачиваю весь исходящий почтовый трафик на smtp-gated, она анализирует и выполняет нужное вам действие путём выполнения скрипт + так же может блокировать ип адрес, более подробно тут: http://software.klolik.org/smtp-gated/

А поподробнее можно? В каком месте сети ловите трафик? Какая нагрузка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А поподробнее можно? В каком месте сети ловите трафик? Какая нагрузка?

Ловим на сервере (инет сервер), через который выходят пользователи в Инетрнет ( pptp сервер -> инет сервер -> Интернет), нагрузка минимальная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня идут правила iptables, которые при > n сессий по 25 порту сыпят в сислог-нг и реджектят все что открывается > n.

Дальше скриптом разбираю лог и баню попавшимся 25 порт до выяснения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня идут правила iptables, которые при > n сессий по 25 порту

сыпят в сислог-нг и реджектят все что открывается > n.

Дальше скриптом разбираю лог и баню попавшимся 25 порт до выяснения.

Использовал аналогичную схему для FreeBSD+ipfw,

но в итоге заменил на собственноручно написанный SpamBlock

из-за более простой конфигурации и более быстрого срабатывания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.