|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrey Ostanovsky 2:5030/1957.10 25 Apr 2007 23:18:12
To : All
Subject : правила pf для защиты от спама
--------------------------------------------------------------------------------
Hедавно заметил, что в man pf.conf появились слова про max-src-conn-rate и
overload, быстренько собрал правило редиректа на медленный spamd:
rdr on $ext_if2 inet proto tcp from <bad_hosts> to $ext_if2 port 25 -> $ext_if2
port 8025
#
pass in quick proto tcp from any to $ext_if2 port 25 flags S/SA \
keep state (source-track rule, max-src-conn-rate 2/600, \
tcp.established 60, tcp.closing 5, \
overload <bad_hosts> flush global) queue mail
И этот паровоз даже работает!:) Понятно, что "белый" список крупных почтовых
серверов должен быть где-то выше.
Осталось пара непонятных моментов:
1.
# pfctl -sS
90.19.206.96 -> 0.0.0.0 ( states 1, connections 1, rate 0.8/600s )
.. повторяем через ~минуту ..
# pfctl -sS
90.19.206.96 -> 0.0.0.0 ( states 0, connections 0, rate 0.6/600s )
Почему conn-rate _уменьшается_ со временем и два коннекта в течение 5 минут дают
результат 1,4/600?
2.
Возникает желание периодически чистить таблицу bad_hosts в зависимости от
времени попадания туда страдальцев (по аналогии с нечаевским скриптом,
защищающим sshd), есть ли какой-то более изящный вариант, чем команда pfctl -T
flush -t bad_hosts раз в час по крону? Формат даты в выводе pfctl -vT show, я
так понимаю, управлению не поддается?
Andrey
--- GoldED+/BSD 1.1.5
* Origin: --> GoldED Origin <-- PGP KeyID 7249E0B9 --> (2:5030/1957.10)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
