Freesco, NND, CDN, EOS :: Wyświetl temat - Spam wysyłany przez klienta

iptables -t filter -I FORWARD -s $IP -p tcp --dport 25 -m connlimit --connlimit-above 5 --connlimit-mask 32 -j DROP

viater, fajny skrypt, moze sie przydac. Dorzyc tam jeszcze zmienna z trzema pierwszymi oktetami ip, bo nie kazdy ma userow w tej klasie adresowej.

po co tyle kombinacji jak wystarczy nalozyc limit dla sieci na port 25

Tak, tylko że wtedy robactwo i tak będzie dalej wysyłać, tyle, że trochę wolniej.

zgadza sie, tyle ze masz pewnosc iz nie zatka calego lacza jeden klient...

mysle ze codziennie kontrolujecie co sie dzieje w sieci, a nie spuszczacie sie na samowystarczalne skrypty

łączenie grep i awk (i to jeszcze wielokrotnie) to jest raczej nieciekawy pomysł... taka konstrukcja powoduje kłopoty jakie niektórzy maja ze źle napisanym scriptem do mrtg, gdzie awk zajmuje w porywach cały czas procesora - było o tym wielokrotnie na forum... Przecież sam awk jest na tyle potężnym narzędziem, że w wiekszości przypadków nie trzeba uzywac nic innego.
A więc manual do awk w dłoń i do dzieła.

Poza tym nie bardzo rozumiem, co masz na myśli, bo z jednej strony odradzasz użycie awk-a ze względu na jego zasobożerność, a z drugiej sugerujesz użycie samego awk-a bez grep.
Może i awk zżera proca, ale ten skrypt wykonuje się u mnie (P133) około 2 sekund przy ok. 200-300 nawiązanych połączeniach.

Tylko trzeba potrafic napisac to w inny sposob, a my sobie radzimy jak potrafimy.

Fajny skrypt.
A jaką regułką odblokować port->IP bez restartu?
Pozdrawiam

Autor:	Surfer [ poniedziałek, 28 sierpnia 2006, 21:36 ]
Tytuł:	Spam wysyłany przez klienta
Mam problem z klientami którzy wysyłają spam ze swoich kompów. Czy ktoś ma jakiś kompleksowe rozwiązanie które rozwiązuje problem. Może odcinające danemu klientowi port 25 jesli wysyła spam albo coś w tym stylu. Nie mam pomysłów jak ktoś ma coś niech sie podzieli.

Autor:	viater [ poniedziałek, 28 sierpnia 2006, 22:02 ]
Tytuł:
No to jest problem niestety. I nie tylko dlatego, że zapycha upload, ale dlatego, że twój IP może trafić na sbl-e (czarne listy nadawców spamu - wykorzystywane przez serwery pocztowe do filtrowania poczty), co może być problemem, gdy masz na routerze serwer pocztowy, który obsługuje pocztę dla twojej domeny. Niedawno też miałem kolejny taki przypadek u jednego z klientów. Staram się kilka razy dziennie monitorować, co się dzieje w sieci, więc nie uszło to mojej uwadze. W takiej sytuacji od razu blokuję klientowi port 25 i informuję go, że ma wirusa i sam ma rozwiązać ten problem - do tego czasu po prostu nie będzie miał możliwości wysyłania poczty (z programu pocztowego, bo przez www sobie może wysyłać). Częściowym rozwiązaniem może być dodanie reguł iptables, które nie pozwalają klientom na nawiązanie kilku różnych połączeń na port 25 i/lub limitujących ilość nawiązywanych połączeń na jednostkę czasu - lecz i to nie zablokuje całkowicie wysyłania spamu przez wiruchy.

Autor:	Surfer [ wtorek, 29 sierpnia 2006, 08:45 ]
Tytuł:
No fakt to może być jakis sposób, mi chodzi przede wszystkim o odciecie tych najbardziej problematycznych osób które wysyłają tysiące maili w ciągu godziny, ja tez od czasu do czasu monitoruje port 25 ale załóżmy ze mnie akurat nie ma. A taka sytuacja zdażyła się wczoraj. Mój dostawca całkowiccie zablokował mi port 25 ana przyszłość chciałbym tego uniknąć.

Autor:	viater [ wtorek, 29 sierpnia 2006, 11:12 ]
Tytuł:
Zobacz http://forum.freesco.pl/viewtopic.php?t=13310

Autor:	viater [ niedziela, 10 września 2006, 21:57 ]
Tytuł:
Taki mały skrypcik ( check25 ). Sprawdza, czy któryś z hostów nie przekracza zadanej liczby (ustawiłem domyślnie na 3) połączeń na port tcp 25 - jeżeli tak, to blokuje mu ruch na porcie 25 i zapisuje ten fakt w logu /var/log/mailers. Korzysta z netstat-nat (wymagany). Można wrzucić do crona, dajmy na to co 5 minut i niech pilnuje. Wszelkie uwagi, modyfikacje (szczególnie uproszczenia), spostrzeżenia i propozycje - mile widziane EDIT: Trzeba w linii 23 dostosować zmienną "subnet" do własnej klasy adresowej dla LAN-u.

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Spam wysyłany przez klienta http://forum.freesco.pl/viewtopic.php?f=22&t=13373	Strona 1 z 3

Autor:	tasiorek [ niedziela, 10 września 2006, 22:36 ]
Tytuł:
viater, fajny skrypt, moze sie przydac. Dorzyc tam jeszcze zmienna z trzema pierwszymi oktetami ip, bo nie kazdy ma userow w tej klasie adresowej.

Autor:	-MW- [ niedziela, 10 września 2006, 23:43 ]
Tytuł:
to juz bylo po co tyle kombinacji jak wystarczy nalozyc limit dla sieci na port 25 Cytuj: iptables -t filter -I FORWARD -s $IP -p tcp --dport 25 -m connlimit --connlimit-above 5 --connlimit-mask 32 -j DROP

Autor:	Mis' [ poniedziałek, 11 września 2006, 00:09 ]
Tytuł:
łączenie grep i awk (i to jeszcze wielokrotnie) to jest raczej nieciekawy pomysł... taka konstrukcja powoduje kłopoty jakie niektórzy maja ze źle napisanym scriptem do mrtg, gdzie awk zajmuje w porywach cały czas procesora - było o tym wielokrotnie na forum... Przecież sam awk jest na tyle potężnym narzędziem, że w wiekszości przypadków nie trzeba uzywac nic innego. A więc manual do awk w dłoń i do dzieła.

Autor:	viater [ poniedziałek, 11 września 2006, 00:38 ]
Tytuł:
Zgadza się, też miałem co do tego wątpliwości. Jednak nie miałem pomysłu, w jaki sposób inaczej wyciągnąć ilość nawiązanych połączeń na dany port dla każdego hosta z osobna. Poza tym nie bardzo rozumiem, co masz na myśli, bo z jednej strony odradzasz użycie awk-a ze względu na jego zasobożerność, a z drugiej sugerujesz użycie samego awk-a bez grep. Może i awk zżera proca, ale ten skrypt wykonuje się u mnie (P133) około 2 sekund przy ok. 200-300 nawiązanych połączeniach.

Autor:	-MW- [ poniedziałek, 11 września 2006, 01:23 ]
Tytuł:
Cytuj: Tak, tylko że wtedy robactwo i tak będzie dalej wysyłać, tyle, że trochę wolniej. zgadza sie, tyle ze masz pewnosc iz nie zatka calego lacza jeden klient, a to do interwencji admina wystarczy. mysle ze codziennie kontrolujecie co sie dzieje w sieci, a nie spuszczacie sie na samowystarczalne skrypty

Autor:	czerwo [ poniedziałek, 11 września 2006, 07:37 ]
Tytuł:
Mis' pisze: łączenie grep i awk (i to jeszcze wielokrotnie) to jest raczej nieciekawy pomysł... taka konstrukcja powoduje kłopoty jakie niektórzy maja ze źle napisanym scriptem do mrtg, gdzie awk zajmuje w porywach cały czas procesora - było o tym wielokrotnie na forum... Przecież sam awk jest na tyle potężnym narzędziem, że w wiekszości przypadków nie trzeba uzywac nic innego. A więc manual do awk w dłoń i do dzieła. Tylko trzeba potrafic napisac to w inny sposob, a my sobie radzimy jak potrafimy. Dlatego dalego nam do profesjonalizmu.

Autor:	jank [ czwartek, 30 listopada 2006, 22:57 ]
Tytuł:
Fajny skrypt. A jaką regułką odblokować port->IP bez restartu? Pozdrawiam

Autor:	viater [ czwartek, 30 listopada 2006, 23:15 ]
Tytuł:
jank pisze: Fajny skrypt. A jaką regułką odblokować port->IP bez restartu? Pozdrawiam : [/] [] () iptables -D FORWARD -s adres_ip -p tcp -m tcp --dport 25 -j DROP GeSHi © Codebox Plus Trzeba też usunąć plik : [/] [] () /var/lib/check25/ostatni_oktet_ip GeSHi © Codebox Plus Czyli jak np. check25 zablokował gościa o adresie IP : [/] [] () 192.168.0.12 GeSHi © Codebox Plus i chcesz mu zdjąć blokadę, to: 1. usuwasz blokadę w iptables: : [/] [] () iptables -D FORWARD -s 192.168.0.12 -p tcp -m tcp --dport 25 -j DROP GeSHi © Codebox Plus 2. usuwasz plik : [/] [] () /var/lib/check25/12 GeSHi © Codebox Plus

Autor:	marcin [ czwartek, 25 stycznia 2007, 02:35 ]
Tytuł:
Skąd można pobrać skrypcik? Linki nie działają.

Autor:	viater [ poniedziałek, 11 września 2006, 04:30 ]
Tytuł:
-MW- pisze: zgadza sie, tyle ze masz pewnosc iz nie zatka calego lacza jeden klient... To fakt. Jednak w przypadku skryptu blokującego - jeżeli wywoływany jest z crona co 5 minut - takie zatkanie będzie najwyżej trwało 5 minut. -MW- pisze: mysle ze codziennie kontrolujecie co sie dzieje w sieci, a nie spuszczacie sie na samowystarczalne skrypty Owszem, zresztą daleki jestem od stwierdzenia, że zaproponowany skrypt jest samowystarczalny. Tylko że nie jestem w stanie kontrolować ruchu w sieci co 5 minut, ani nawet co godzinę - a tyle wystarczy, żeby taki jeden mailer wysłał tyle spamu, żeby trafić na jakąś blacklistę - a tego bym nie chciał. W sumie myślę, że dobrym pomysłem jest zastosowanie obu rozwiązań jednocześnie Twoje zapobiega wysyceniu łącza, moje - trafieniu na SBL(s).

Autor:	viater [ poniedziałek, 11 września 2006, 14:31 ]
Tytuł:
Dzięki Mis' Między innymi o tego typu sugestie mi chodziło. Jak tylko będę miał chwilę, zabieram się do roboty. ================================== EDIT: Poprawiony skrypcik - według Twoich sugestii Mis' P.S. Za cholerę nie mogę tego zrobić jednym awk-iem ================================== EDIT: Qrcze, tym awk-iem wszystko sie da zrobić Zrobiłem to w jednym w dodatku bez netstat-nat (wyciągam połączenia z /proc/net/ip_conntrack).

Strona 1 z 3	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/

Autor:	viater [ czwartek, 25 stycznia 2007, 16:10 ]
Tytuł:
Sorry zmienił mi się od tamtego czasu adres - już poprawiłem.