wsimons Опубликовано 9 августа, 2010 · Жалоба FreeBSD 7.3 Release. mpd5, ngnat. Клиенты подключаются посредством pptp. Часть с внешними ip, чась нет (за натом) Использую spamblock, но в чем проблема, с внешними ипами все просто, а вот с внутренними не получается. Естественно вижу в адресе источника трафика не адрес выдаваемый клиенту, а внешний адрес сервера. Наверное можно сделать что-то через netgraph, но мало себе представляю как. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 9 августа, 2010 · Жалоба попробуйте логировать dst 25 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wsimons Опубликовано 9 августа, 2010 (изменено) · Жалоба Ну так и делаю, видны лишь клиенты с внешними ипами, а те, кто через нат сидят -нет. Вариант с блоком 25 порта вообще не вариант, 1) это дикость и придется прописывать в Ipfw правила для доступа на mail.ru и иже с ними 2) Для теста пробовал блочить и опять-же блочатся прекрасно клиенты с внешним ипом, все кто через NAT спокойно обходят и deny ip from any to any src-port 25:) Скорее всего можно вычленить нужный трафик через нетграф. Но увы, сложно для меня очень. Вот пример вывода скрипта спамблоковского, сначала пишет что дескать "Import done. Total 0, readed 0, added 0, deleted 0 blocks." Затем если подождать выдает вот что: Стертый ип это и есть внешний адрес этого впн сервера. Изменено 9 августа, 2010 пользователем wsimons Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wsimons Опубликовано 9 августа, 2010 · Жалоба Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG* Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 11 августа, 2010 · Жалоба Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG*Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:) Это ограничение не spamblock, а tcpdump'a.Если ему можно указать, что нужно слушать ноду нетграфа или ещё какую-то общую точку, через которую весь трафик проходит до NAT'a - тогда проблемы нет. В противном случе остаётся только "ipfw add 10 count log logamount 30000 tcp from 10.0.0.0/8 to any 25 setup in" и просмотр /var/log/security. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wsimons Опубликовано 11 августа, 2010 · Жалоба Да, по поводу тисипидампа и спамблока лоханулся, он же как раз тисипидамп использует. Спасибо. Попробуем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 27 августа, 2010 · Жалоба А можете посоветовать как можно аналогичную проблему решить на дебиан? Ситуация похожая, только используется pppoe + nat. Периодически в сети появляются невольные спамеры - абоненты, зараженные вирусякой, рассылающей спам. Сейчас отлавливаем таких пост-фактум, просматривая dnstop (такой спамер создает характерную нагрузку на днс-сервер, т.к. запрашивает большое число хостов за 1 секунду) Блокировать порт 25 нисколько не выход, а разумного ничего в голову не приходит. Есть правда идея переправлять трафик с 25 порта всех абонентов на локальный relay, который будет фильтровать исходящую почту, но что-то затея кажется слишком уж трудновыполнимой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 27 августа, 2010 · Жалоба Mallorn -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 28 августа, 2010 · Жалоба Mallorn -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable Спасибо, попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
polmax Опубликовано 28 августа, 2010 · Жалоба Я использую для проверки исходящих писем на вирусы и спам программой: smtp-gated то есть принудительно заворачиваю весь исходящий почтовый трафик на smtp-gated, она анализирует и выполняет нужное вам действие путём выполнения скрипт + так же может блокировать ип адрес, более подробно тут: http://software.klolik.org/smtp-gated/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 28 августа, 2010 · Жалоба А можете посоветовать как можно аналогичную проблему решить на дебиан?Я бы сделал так:1) пустой vlan-интерфейс, который никуда не ведёт, 2) spamblock его слушает, 3) iptables -p tcp --dport 25 -m state --state NEW -j mirror ..в этот vlan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 29 августа, 2010 · Жалоба Я использую для проверки исходящих писем на вирусы и спам программой: smtp-gatedто есть принудительно заворачиваю весь исходящий почтовый трафик на smtp-gated, она анализирует и выполняет нужное вам действие путём выполнения скрипт + так же может блокировать ип адрес, более подробно тут: http://software.klolik.org/smtp-gated/ А поподробнее можно? В каком месте сети ловите трафик? Какая нагрузка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
polmax Опубликовано 29 августа, 2010 · Жалоба А поподробнее можно? В каком месте сети ловите трафик? Какая нагрузка? Ловим на сервере (инет сервер), через который выходят пользователи в Инетрнет ( pptp сервер -> инет сервер -> Интернет), нагрузка минимальная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 1 сентября, 2010 · Жалоба У меня идут правила iptables, которые при > n сессий по 25 порту сыпят в сислог-нг и реджектят все что открывается > n. Дальше скриптом разбираю лог и баню попавшимся 25 порт до выяснения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 1 сентября, 2010 · Жалоба У меня идут правила iptables, которые при > n сессий по 25 портусыпят в сислог-нг и реджектят все что открывается > n. Дальше скриптом разбираю лог и баню попавшимся 25 порт до выяснения. Использовал аналогичную схему для FreeBSD+ipfw,но в итоге заменил на собственноручно написанный SpamBlock из-за более простой конфигурации и более быстрого срабатывания. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...