The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Провайдер и политика фильтрации трафика"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Провайдер и политика фильтрации трафика" 
Сообщение от Varyag Искать по авторуВ закладки(??) on 09-Дек-05, 12:14  (MSK)
Здравствуйте!

Есть домашняя сеть приблизительно на 1000 ПК, основной заработок которой интернет.
При подключении к интернет, каждому клиенту выдается приватный IP-адрес, который натится на маршрутизаторе(FreeBSD 5.4) на маршрутизируемый в интернете(реальный) IP.
На маршрутизаторе с клиентов пропускается весь траффик, за исключением того что идет с/на порты 137,138,139,445.
В сети много компьютеров с вирусами. Так как 25 порт не блокируется на маршрутизаторе, то трояны сидящие на пользовательских компах рассылают вирусы, в результате чего во многих RBL наша сеть заблокирована и на многие почтари письма из этой подсети нельзя отправить. Опыт показал, что списываться с администраторами RBL бесполезно, без принятия серьезных мер внутри сети.
Установка своего почтового сервера и принудительная рассылка всех писем через него не решает проблемы, так как почти каждый клиент постоянно использует почтовые ящики на других почтарях. И пользователи будут недовольны таким ограничением.
Делать индувидуальные правила для порта 25 для каждого клиента на фаэрволе не разумно.
Наверняка многие администраторы сталкивались с подобной проблемой.
Как можно снизить или почти исключить рассылку вирусов из сети?


  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "Провайдер и политика фильтрации трафика" 
Сообщение от vt Искать по авторуВ закладки(ok) on 09-Дек-05, 13:18  (MSK)
Для Linux-а можно использовать token bucket фильтр
(iptables, опции --limit и --limit-burst)
на новые connect-ы по 25-ому порту для групп|подсетей пользователей
или даже для каждого пользователя индивидуально.
То есть, пользователю разрешается отправлять только
ограниченное кол-во (заданное опцией limit) писем в минуту.
Если же втечение N минут ничего не отправляется,
то в следующую минуту может быть отправлено N*limit писем,
но не более чем кол-во, заданное опцией limit-burst.
Интервалом времени может быть не только минута,
но и секунда, и час.
Для FreeBSD аналогичных средств не знаю.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Провайдер и политика фильтрации трафика" 
Сообщение от Varyag Искать по авторуВ закладки(??) on 09-Дек-05, 18:04  (MSK)
>Для Linux-а можно использовать token bucket фильтр
>(iptables, опции --limit и --limit-burst)
>на новые connect-ы по 25-ому порту для групп|подсетей пользователей
>или даже для каждого пользователя индивидуально.
>То есть, пользователю разрешается отправлять только
>ограниченное кол-во (заданное опцией limit) писем в минуту.
>Если же втечение N минут ничего не отправляется,
>то в следующую минуту может быть отправлено N*limit писем,
>но не более чем кол-во, заданное опцией limit-burst.
>Интервалом времени может быть не только минута,
>но и секунда, и час.
>Для FreeBSD аналогичных средств не знаю.

Интересное предложение.
Но лимиты все равно не спасают от прохождения вирусов. Ведь для того, чтобы залететь в RBL их не так уж и много надо...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Провайдер и политика фильтрации трафика" 
Сообщение от paul Искать по авторуВ закладки(??) on 09-Дек-05, 13:44  (MSK)
На ум приходят два варианта:

1. На ip с натом ставится локальный почтовый сервер-релей с фильтрацией вирусов, 25 порт для доступа изнутри наружу закрывается. Все юзеры меняют в настройках мэйлеров адрес smtp сервера на локальный, не изменяя адрес pop3 и imap серверов.

2. Местный почтовый сервер поднимается на ip, отличном от ip с натом. Это может быть либо отдельный компьютер либо MTA в jail-е на ip-алиасе.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Провайдер и политика фильтрации трафика" 
Сообщение от Den Искать по авторуВ закладки(??) on 09-Дек-05, 17:50  (MSK)
>На ум приходят два варианта:
>
>1. На ip с натом ставится локальный почтовый сервер-релей с фильтрацией вирусов,
>25 порт для доступа изнутри наружу закрывается. Все юзеры меняют в
>настройках мэйлеров адрес smtp сервера на локальный, не изменяя адрес pop3
>и imap серверов.
>
>2. Местный почтовый сервер поднимается на ip, отличном от ip с натом.
>Это может быть либо отдельный компьютер либо MTA в jail-е на
>ip-алиасе.

Лучше второй вариант

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Провайдер и политика фильтрации трафика" 
Сообщение от Varyag Искать по авторуВ закладки(??) on 09-Дек-05, 18:10  (MSK)
>На ум приходят два варианта:
>
>1. На ip с натом ставится локальный почтовый сервер-релей с фильтрацией вирусов,
>25 порт для доступа изнутри наружу закрывается. Все юзеры меняют в
>настройках мэйлеров адрес smtp сервера на локальный, не изменяя адрес pop3
>и imap серверов.
>
>2. Местный почтовый сервер поднимается на ip, отличном от ip с натом.
>Это может быть либо отдельный компьютер либо MTA в jail-е на
>ip-алиасе.

Тоже об этом думал... Но это нарушает свободы пользователей и не все так захотят делать(скажем те, кто пользуеются корпоративной почтой дома, таких процентов 15 минимум наберется)...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру