ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Объясните плиз про SMTP-прок сирование




В стандартном файрволе такой фичи нет (во всяком случае насколько мне известно).
Есть расширение к iptables которое называется ip_conn_track, но в ядро оно не включено и поскольку на одном из моих серверов использование этого расширения привело к panic ядра, я его использовать теперь опасаюсь.
Какие-то вы странные вещи рассказываете. Или у вас очень древняя система.
man iptables(дальше поиск по connlimit) Это модуль уже давно в стандартной поставке ядра.
 
Древняя в том-то и дело: Fedora5 :(
И connlimit как раз не работает - нет такого модуля в дефолтной поставке ядра



Можно и в exim'е это ограничить, причем с любой степенью извращенности, директивой smtp_accept_max_per_host. Она expand'ится до рождения потомка на обработку сообщения... Хоть динамические черные списки по фазам луны делайте.

Угу, угу, smtp_max_per_host стоит в 1. При этом netstat показывает попытку открыть 5 и более коннектов с одного IP. Да, exim разумеется коннект не допустит и соединение закроет, только вот всё это занимает время (несколько секунд на отпинывание одного коннекта). В итоге просто забиваются все доступные коннекты и начинается отпинывание  уже хороших хостов, потому что превышено максимальное количество коннектов. Димнамические фильтры есть - не спасает при таком объёме спамеров.

Пошёл уже чистый оффтоп, если интересны подробности - можете в личку.


 




Copyright © Lexa Software, 1996-2009.