Freesco, NND, CDN, EOS

Mam problem z klientami którzy wysyłają spam ze swoich kompów. Czy ktoś ma jakiś kompleksowe rozwiązanie które rozwiązuje problem. Może odcinające danemu klientowi port 25 jesli wysyła spam albo coś w tym stylu. Nie mam pomysłów jak ktoś ma coś niech sie podzieli.

No to jest problem niestety. I nie tylko dlatego, że zapycha upload, ale dlatego, że twój IP może trafić na sbl-e (czarne listy nadawców spamu - wykorzystywane przez serwery pocztowe do filtrowania poczty), co może być problemem, gdy masz na routerze serwer pocztowy, który obsługuje pocztę dla twojej domeny.

Niedawno też miałem kolejny taki przypadek u jednego z klientów. Staram się kilka razy dziennie monitorować, co się dzieje w sieci, więc nie uszło to mojej uwadze. W takiej sytuacji od razu blokuję klientowi port 25 i informuję go, że ma wirusa i sam ma rozwiązać ten problem - do tego czasu po prostu nie będzie miał możliwości wysyłania poczty (z programu pocztowego, bo przez www sobie może wysyłać).

Częściowym rozwiązaniem może być dodanie reguł iptables, które nie pozwalają klientom na nawiązanie kilku różnych połączeń na port 25 i/lub limitujących ilość nawiązywanych połączeń na jednostkę czasu - lecz i to nie zablokuje całkowicie wysyłania spamu przez wiruchy.

_________________
F33/F07,F11,F13,F17

No fakt to może być jakis sposób, mi chodzi przede wszystkim o odciecie tych najbardziej problematycznych osób które wysyłają tysiące maili w ciągu godziny, ja tez od czasu do czasu monitoruje port 25 ale załóżmy ze mnie akurat nie ma. A taka sytuacja zdażyła się wczoraj. Mój dostawca całkowiccie zablokował mi port 25 ana przyszłość chciałbym tego uniknąć.

Zobacz http://forum.freesco.pl/viewtopic.php?t=13310

_________________
F33/F07,F11,F13,F17

Taki mały skrypcik ( check25 ).
Sprawdza, czy któryś z hostów nie przekracza zadanej liczby (ustawiłem domyślnie na 3) połączeń na port tcp 25 - jeżeli tak, to blokuje mu ruch na porcie 25 i zapisuje ten fakt w logu /var/log/mailers.
Korzysta z netstat-nat (wymagany).
Można wrzucić do crona, dajmy na to co 5 minut i niech pilnuje.
Wszelkie uwagi, modyfikacje (szczególnie uproszczenia), spostrzeżenia i propozycje - mile widziane

EDIT:
Trzeba w linii 23 dostosować zmienną "subnet" do własnej klasy adresowej dla LAN-u.

_________________
F33/F07,F11,F13,F17

viater, fajny skrypt, moze sie przydac. Dorzyc tam jeszcze zmienna z trzema pierwszymi oktetami ip, bo nie kazdy ma userow w tej klasie adresowej.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

to juz bylo

po co tyle kombinacji jak wystarczy nalozyc limit dla sieci na port 25

Właśnie o tym samym pomyślałem - zrobione


Tak, tylko że wtedy robactwo i tak będzie dalej wysyłać, tyle, że trochę wolniej.

_________________
F33/F07,F11,F13,F17

łączenie grep i awk (i to jeszcze wielokrotnie) to jest raczej nieciekawy pomysł... taka konstrukcja powoduje kłopoty jakie niektórzy maja ze źle napisanym scriptem do mrtg, gdzie awk zajmuje w porywach cały czas procesora - było o tym wielokrotnie na forum... Przecież sam awk jest na tyle potężnym narzędziem, że w wiekszości przypadków nie trzeba uzywac nic innego.
A więc manual do awk w dłoń i do dzieła.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Zgadza się, też miałem co do tego wątpliwości. Jednak nie miałem pomysłu, w jaki sposób inaczej wyciągnąć ilość nawiązanych połączeń na dany port dla każdego hosta z osobna.
Poza tym nie bardzo rozumiem, co masz na myśli, bo z jednej strony odradzasz użycie awk-a ze względu na jego zasobożerność, a z drugiej sugerujesz użycie samego awk-a bez grep.
Może i awk zżera proca, ale ten skrypt wykonuje się u mnie (P133) około 2 sekund przy ok. 200-300 nawiązanych połączeniach.

_________________
F33/F07,F11,F13,F17

zgadza sie, tyle ze masz pewnosc iz nie zatka calego lacza jeden klient,
a to do interwencji admina wystarczy.
mysle ze codziennie kontrolujecie co sie dzieje w sieci, a nie spuszczacie sie na samowystarczalne skrypty

To fakt. Jednak w przypadku skryptu blokującego - jeżeli wywoływany jest z crona co 5 minut - takie zatkanie będzie najwyżej trwało 5 minut.

Owszem, zresztą daleki jestem od stwierdzenia, że zaproponowany skrypt jest samowystarczalny. Tylko że nie jestem w stanie kontrolować ruchu w sieci co 5 minut, ani nawet co godzinę - a tyle wystarczy, żeby taki jeden mailer wysłał tyle spamu, żeby trafić na jakąś blacklistę - a tego bym nie chciał.
W sumie myślę, że dobrym pomysłem jest zastosowanie obu rozwiązań jednocześnie Twoje zapobiega wysyceniu łącza, moje - trafieniu na SBL(s).

_________________
F33/F07,F11,F13,F17

Tylko trzeba potrafic napisac to w inny sposob, a my sobie radzimy jak potrafimy. Dlatego dalego nam do profesjonalizmu.

_________________

Nie zrozumiałeś mnie. Chodzi mi o to że masz np taką konstrukcję:



co spokojnie mozna zastąpić tym:



Nie twierdziłem, że awk jest zasobożerny, jednak dublowanie grepem funkcji wbudowanych juz w awk nie ma sensu, to chyba przyznasz...
Podobnie ma się sprawa z wielokrotnym wywołaniem awk - przecież każde wywołanie to dodatkowy proces, zajęcie czasu procesora, pamięci...

To ze script wykonuje się 2 sek nie ma większego znaczenia - przecież prawdopodobnie takich scripcików każdy z nas ma więcej niż jeden i pewnie niektóre z nich są dużo bardziej wymagające.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

sam też się uczę. Na razie nauczyłem się zawsze mieć zawsze otwrte manuale do narzędzi, których używam. I czytać je...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Dzięki Mis'
Między innymi o tego typu sugestie mi chodziło.
Jak tylko będę miał chwilę, zabieram się do roboty.
==================================
EDIT:
Poprawiony skrypcik - według Twoich sugestii Mis'
P.S.
Za cholerę nie mogę tego zrobić jednym awk-iem
==================================
EDIT:
Qrcze, tym awk-iem wszystko sie da zrobić Zrobiłem to w jednym w dodatku bez netstat-nat (wyciągam połączenia z /proc/net/ip_conntrack).

_________________
F33/F07,F11,F13,F17

Fajny skrypt.
A jaką regułką odblokować port->IP bez restartu?
Pozdrawiam

Trzeba też usunąć plik

Czyli jak np. check25 zablokował gościa o adresie IP

i chcesz mu zdjąć blokadę, to:
1. usuwasz blokadę w iptables:

2. usuwasz plik

_________________
F33/F07,F11,F13,F17

Skąd można pobrać skrypcik? Linki nie działają.

Sorry zmienił mi się od tamtego czasu adres - już poprawiłem.

_________________
F33/F07,F11,F13,F17