В стандартном файрволе такой фичи нет (во всяком случае насколько мне известно).
Есть расширение к iptables которое называется ip_conn_track, но в ядро оно не включено и поскольку на одном из моих серверов использование этого расширения привело к panic ядра, я его использовать теперь опасаюсь.
Какие-то вы странные вещи рассказываете. Или у вас очень древняя система.
man iptables(дальше поиск по connlimit) Это модуль уже давно в стандартной поставке ядра.
Древняя в том-то и дело: Fedora5 :(
И connlimit как раз не работает - нет такого модуля в дефолтной поставке ядра
Можно и в exim'е это ограничить, причем с любой степенью извращенности, директивой smtp_accept_max_per_host. Она expand'ится до рождения потомка на обработку сообщения... Хоть динамические черные списки по фазам луны делайте.
Угу, угу, smtp_max_per_host стоит в 1. При этом netstat показывает попытку открыть 5 и более коннектов с одного IP. Да, exim разумеется коннект не допустит и соединение закроет, только вот всё это занимает время (несколько секунд на отпинывание одного коннекта). В итоге просто забиваются все доступные коннекты и начинается отпинывание уже хороших хостов, потому что превышено максимальное количество коннектов. Димнамические фильтры есть - не спасает при таком объёме спамеров.
Пошёл уже чистый оффтоп, если интересны подробности - можете в личку.
