Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раздел полезных советов: Автоматизация борьбы со спамботами ..., auto_tips (??), 24-Авг-09, (0) [смотреть все] фильтр PF в FreeBSD OpenBSD умеет самостоятельно вылавливать адреса, превышающие, Аноним (-), 11:29 , 24-Авг-09, (1) // Не умеет , Банзай (??), 11:38 , 24-Авг-09, (2)   // Умеет, конечно , Аноним (-), 13:51 , 24-Авг-09, (6)   // Попробуйте и доложите Желательно с дешифрованными tpcdump ом логами, иллюструющи, Щекн Итрч (ok), 02:37 , 25-Авг-09, (9)   Где-то так table smtp_bruteforce persistblock drop in quick from smtp_brutefo, ws (ok), 11:57 , 25-Авг-09, (14)   А где ключевые слова умеет самостоятельно , pavlinux (ok), 20:11 , 25-Авг-09, (23)   Где-то или есть логи, иллюстрирующие гипотезу Можно фрагмент лога , Щекн Итрч (ok), 00:04 , 26-Авг-09, (26)   У меня большой сети зомбируемых машин нет Поэтому оставлю вам это на самопрораб, ws (ok), 10:22 , 26-Авг-09, (30)   Мой друг, это же классика Про max-src-conn-rate pf hashlimit iptables знает , настоящий_аноним (?), 15:39 , 26-Авг-09, (32)   Причем таймаут хранится для каждой записи отдельно , настоящий_аноним (?), 15:47 , 26-Авг-09, (35)   Естественно И применимая в текущей задаче Так и в pf таймауты в таблице выста, ws (ok), 16:46 , 26-Авг-09, (37)   Если уж быть строгим и занудным до конца, то и iptables, и ipset - это всего лиш, аноним (?), 01:03 , 27-Авг-09, (39)   Здесь дело не в количестве соединений, а в количестве IP-адресов, с которыми уст, Дима Иванов (?), 12:21 , 24-Авг-09, (3) Это, конечно, от ситуации зависит, но проще просто ЗАКРЫТЬ весь исходящий траффи, Andrew (??), 12:43 , 24-Авг-09, (4) // Да, так было бы лучше всего Но пользователям этого не объяснить Т е увеличитс, Дима Иванов (?), 12:45 , 24-Авг-09, (5) // На трипаки в сетке похер, а закрытый на выход 25й порт - это айс парсить maillo, mr_gfd (?), 15:06 , 25-Авг-09, (21) А есть чтото подобное для сервиса icq , jordan (?), 22:19 , 24-Авг-09, (7) Это же надо так мучаться В iptables это делается несколькими строчками Созд, настоящий_аноним (?), 00:59 , 25-Авг-09, (8) // Нда Скрипт на двести строчек и три-четыре строчки на iptables и pf Наглядно , andrew (??), 20:29 , 25-Авг-09, (24) // НЕ работают три-четыре строчки на iptables и pf НЕ работают Бабушку свою жить, Щекн Итрч (ok), 00:05 , 26-Авг-09, (27) // А у меня - работают Причем далеко не на одном сервере Вопрос у кого из нас дво, аноним (?), 11:02 , 26-Авг-09, (31) Полагаю, проблема не у iptables и pf , а у вас Где-то в области dev hands либ, настоящий_аноним (?), 15:44 , 26-Авг-09, (33) Самое простое-A FORWARD -p tcp --dport 25 -j LOG --log-prefix smtpport включить , shadow_alone (ok), 04:52 , 25-Авг-09, (10) -A FORWARD -s 192 168 0 0 16 -p tcp -m tcp --dport 25 -m state --state NEW -m re, .snake (?), 05:12 , 25-Авг-09, (11) // очень интересно, из-за кого-то одного будут страдать все - это во первых Во втор, shadow_alone (ok), 05:21 , 25-Авг-09, (12) // Страдать будет только тот кто спамит, проверено Префикс 16 указан для примера,, .snake (?), 06:23 , 25-Авг-09, (13) Мсье самый умный Мсье никогда не читает документацию Шагом марш читать man ipta, настоящий_аноним (?), 13:11 , 25-Авг-09, (16) // Мсье не страдает такой хренью, ибо , shadow_alone (ok), 13:16 , 25-Авг-09, (17) Ибо считает, что лучше написать двадцать тормозных велосипедов по сто килобайт к, настоящий_аноним (?), 14:05 , 25-Авг-09, (18) совершенно неправильно сплошной, блин, офф топ лучше по русски - не по т, shadow_alone (ok), 14:18 , 25-Авг-09, (19) за прогу - зачёт за ночь наловила 87 хостов фикусы с iptables стоят на релее , emp (??), 12:11 , 25-Авг-09, (15) // Именно Наконец кто-то понял мою задумку , Дима Иванов (?), 15:17 , 25-Авг-09, (22) Я бы предложил анализировать коннтраки с ASSURED на 25 порту , maap (?), 14:44 , 25-Авг-09, (20) // Кстати вопрос ctstatus анализирует все подключения или только related по conntr, настоящий_аноним (?), 15:52 , 26-Авг-09, (36) многабукаф в перле может и красиво, но оч тяжело у меня на шеле в 5 строк влезл, admin (??), 23:04 , 25-Авг-09, (25) // И не слабО их здесь привести Что-то мешает Шарики , Щекн Итрч (ok), 00:06 , 26-Авг-09, (28) У меня на iptables 3-4 У товарища выше на pf - 3 Что вы там так длинно пишете , настоящий_аноним (?), 15:46 , 26-Авг-09, (34) Скрипт, думаю, будет полезен Он хорошо подходит, когда нужно оповещать пользоват, XoRe (ok), 00:25 , 27-Авг-09, (38) То же самое, только чуть короче http sources homelink ru spamblock , Илья Евсеев (?), 11:32 , 03-Сен-09, (40) Время записи в журналclient_connection_status_update_time 5m Задаём промежут, Kost (?), 15:53 , 16-Янв-12, (41) 1,4,7,8,10,11,15,20,25,38,40,41

Сообщения

[Сортировка по времени | RSS]

	2. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от Банзай (??), 24-Авг-09, 11:38
	>фильтр PF в FreeBSD\OpenBSD умеет самостоятельно вылавливать адреса, превышающие порог на частоту >соединений и заносить их в свою внутреннюю таблицу. По этой таблице >можно и блокировать трафик, и вылавливать нарушителей. Все гораздо проще и >изящнее ... Не умеет.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от Аноним (-), 24-Авг-09, 13:51
	Умеет, конечно.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от Щекн Итрч (ok), 25-Авг-09, 02:37
	>Умеет, конечно. Попробуйте и доложите. Желательно с дешифрованными tpcdump'ом логами, иллюструющими ваш набор правил.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от ws (ok), 25-Авг-09, 11:57
	Где-то так: table <smtp_bruteforce> persist block drop in quick from <smtp_bruteforce> pass in quick proto tcp from <local_net> to any port smtp flags S/S keep state \   (max-src-conn-rate 20/300, overload <smtp_bruteforce> flush global) Теперь в таблице <smtp_bruteforce> будет содержаться забаненые ip. Очистку этой таблицы можно производить через запуск по крону программы, очищающая устаревшие записи на сутки: /usr/local/sbin/expiretable -t 79200 smtp_bruteforce
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от pavlinux (ok), 25-Авг-09, 20:11
	А где ключевые слова "умеет самостоятельно"?
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от Щекн Итрч (ok), 26-Авг-09, 00:04
	"Где-то" или "есть логи, иллюстрирующие гипотезу"? Можно фрагмент лога?
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	30. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от ws (ok), 26-Авг-09, 10:22
	У меня большой сети зомбируемых машин нет. Поэтому оставлю вам это на самопроработку. В этом коде, конечно не учтено: >>Здесь дело не в количестве соединений, а в количестве IP-адресов, с которыми устанавливается соединение. но тем немение, работает с частотой создаваемых соединений. ps: такая связка успешно функционирует у меня на блокирование попыток подключения по ssh.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от настоящий_аноним (?), 26-Авг-09, 15:39
	>ps: такая связка успешно функционирует у меня на блокирование попыток подключения по ssh. Мой друг, это же классика :) Про max-src-conn-rate(pf)/hashlimit(iptables) знает любой начинающий админ. Если же вас собеседник не знает таких очевидных вещей - бессмысленно пытаться ему что-либо объяснить. Кстати, в отношении таймаутов ipset немного удобнее таблиц pf - не нужно прикручивать всякие expiretable, механизм таймаутов реализован нативно: ipset -N spambots iptree --timeout 79200 Так записи будут автоматически удаляться через 22 часа.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от настоящий_аноним (?), 26-Авг-09, 15:47
	>Так записи будут автоматически удаляться через 22 часа. Причем таймаут хранится для каждой записи отдельно.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от ws (ok), 26-Авг-09, 16:46
	>Мой друг, это же классика :) Естественно. :) И применимая в текущей задаче. >Кстати, в отношении таймаутов ipset немного удобнее таблиц pf - не нужно >прикручивать всякие expiretable, механизм таймаутов реализован нативно: >ipset -N spambots iptree --timeout 79200 >Так записи будут автоматически удаляться через 22 часа. >Причем таймаут хранится для каждой записи отдельно. Так и в pf таймауты в таблице выставляются для каждой записи индивидуально. expiretable нужно вызывать только для очистки устаревших записей. Конечно, хотелось бы обходиться без него. Скажим так expiretable - это расширение к pf, как ipset расширение к iptables.  :)
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	39. "Автоматизация борьбы со спамботами в своей сети"	+/–
	Сообщение от аноним (?), 27-Авг-09, 01:03
	>Скажим так expiretable - это расширение к pf, как ipset расширение к iptables.  :) Если уж быть строгим и занудным до конца, то и iptables, и ipset - это всего лишь интерфейсы к netfilter, как pfctl - интерфейс к pf :)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема