Olá, Positivo e operante chefia. Funcionou perfeitamente. Estou utilizando:
pass in on $ext_if proto tcp to any \ port www keep state \ (source-track rule, max-src-states 50) Não deixa criar mais que 50 conexões, antes que as outras expirem ! Ficou joia ! Muito obrigado mesmo. A respeito do tableexpire irei testar mais tarde, mas acho que é tipo de um "gato" pra dar flush na tabela após um determinado tempo. Acho que neste caso ai é mais facil usar um "pfctl -t abusive_hosts -T flush" em uma cron de 5 em 5 mins. Valew !!! -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 ----- Original Message ----- From: "Marcelo Prota" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd@fug.com.br> Sent: Monday, November 17, 2008 3:42 PM Subject: Re: [FUG-BR] RES: RES: PF + Tarpitting Victor, no proprio link [1] que voce passou existe uma outra regra [2] que talvez resolva seu problema. [1] http://www.openbsd.org/faq/pf/filter.html [2] pass in on $ext_if proto tcp to $web_server \ port www keep state \ (max 200, source-track rule, max-src-nodes 100, max-src-states 3) 2008/11/17 Ricardo Augusto de Souza <[EMAIL PROTECTED]> > Victor, > > Então vc quer remover as entradas 'antigas' na tabela <abusive_hosts>, > certo? > > Da uma lida sobre o expiretable. Um amigo meu utiliza no OpenBSD. Funciona > legal. > > > > > -----Mensagem original----- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome > de Victor > Enviada em: segunda-feira, 17 de novembro de 2008 13:07 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: PF + Tarpitting > Prioridade: Alta > > Olá Ricardo, > > Correto meu amigo. Já fiz testes com menas e funciona perfeitamente. O > porém > é que alguns navegadores geram mais conexões do que o normal ou até mesmo > pessoas que estão navegando pelo mesmo IP, e quando é atingido esse limite > (overload), ele adciona os IP's a tabela abusive_hosts que é fixa e o IP > fica bloqueado pra sempre, ao contrário da regra de IPTables que só > bloqueia > as conexões até as outras serem CLOSED. > > Obrigado. > > > -- > Atenciosamente, > Victor Gustavo Volpe > Diretor Executivo > Grupo Total Serviços de Internet LTDA - ME > CNPJ: 08.776.401/0001-40 > (17) 3227-0686 / 9105-5392 > > ----- Original Message ----- > From: "Ricardo Augusto de Souza" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > <freebsd@fug.com.br> > Sent: Monday, November 17, 2008 11:30 AM > Subject: [FUG-BR] RES: PF + Tarpitting > > > Vitor, > Aparentemente sua regra esta correta. > Seu teste abre 100 conexoes com 15 conexoes novas a cada 5 segundos? > Tente fazer um teste com menos conexões para se certificar que não esta > funcionando. > > > > -----Mensagem original----- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome > de Victor > Enviada em: segunda-feira, 17 de novembro de 2008 12:17 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] PF + Tarpitting > > Olá Renato, > > Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao > flood > de conexões feito por um script em Perl que gera quantas conexões você > quiser no alvo e consequentemente o apache para de responder, > simplificando > é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te > explico melhor e se desejar efetuo o ataque em seu apache para você ver > como > funciona. > > Obrigado. > > > -- > Atenciosamente, > Victor Gustavo Volpe > Diretor Executivo > Grupo Total Serviços de Internet LTDA - ME > CNPJ: 08.776.401/0001-40 > (17) 3227-0686 / 9105-5392 > > ----- Original Message ----- > From: "renato martins" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > <freebsd@fug.com.br> > Sent: Monday, November 17, 2008 10:35 AM > Subject: Re: [FUG-BR] PF + Tarpitting > > > Você está usando pf para proteger seu apache de spam ? > apache é seu servidor de sites no máximo spammers podem coletar emails de > seu site para envia para eles spam mas desta forma seu usuário receberia > um > caminhào de spam e não seria taxados como spammers. > > Se seus usuários está sendo marcos como spammers provavelmente eles sejão, > até involuntariamente pois suas máquinas podem estar contaminadas com > vírus, > warms e outros ou estão mandando email marketing mesmo. > > quanto á isso você não vai resolver com pf nem ipfw a menos que você > descubra os usuarios que estào fazendo isso e feche eles no firewall para > que não usem servidores smtp externos e em alguns casos como contaminados > por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito > util nesses casos. > > oriente seus usuários nào clicarem links em emails desconhecidos ou > duvidoso > , recomende o uso de ant-virus e ant-spyware > > 2008/11/16 Victor <[EMAIL PROTECTED]> > > > Olá Cristina, > > > > Agradeço sua resposta. Será que você teria tal regra para IPFW ? > > > > Obrigado. > > > > > > -- > > Atenciosamente, > > Victor Gustavo Volpe > > Diretor Executivo > > Grupo Total Serviços de Internet LTDA - ME > > CNPJ: 08.776.401/0001-40 > > (17) 3227-0686 / 9105-5392 > > > > ----- Original Message ----- > > From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > <freebsd@fug.com.br> > > Sent: Saturday, November 15, 2008 11:14 PM > > Subject: Re: [FUG-BR] PF + Tarpitting > > > > > > Ja tentou usar o IPFW ?? > > > > 2008/11/15 Victor <[EMAIL PROTECTED]>: > > > Olá amigos, > > > > > > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de > > > spam > > > (httpd.pl). Estou no momento usando uma regra apresentada nos > documentos > > > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): > > > > > > table <abusive_hosts> persist > > > block in quick from <abusive_hosts> > > > > > > pass in on $ext_if proto tcp to $web_server \ > > > port www flags S/SA keep state \ > > > (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts> > > > flush) > > > > > > Porém vários usuários estão sendo taxados como spammers indevidamente. > > > Vi > > > no > > > man page do PF que é possível fazer um tarpit para os overloads, o que > > > seria > > > mais interessante do que adcionar os IP's em uma black list > > > definitiva. > > > Não > > > sei que software pode ser utilizado para fazer este tarpit ou mesmo > como > > > redirecionar a table para ele. Não consegui nada no Google, apenas > > > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para > > > constar, quando eu usava Linux, utilizava a seguinte regra no iptables > e > > > funcionava perfeitamente: > > > > > > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m > > > recent --set --name ANTISPAM -j ACCEPT > > > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds > > > 5 --hitcount 15 --name ANTISPAM -j DROP > > > > > > Obrigado. > > > > > > -- > > > Atenciosamente, > > > Victor Gustavo Volpe > > > Diretor Executivo > > > Grupo Total Serviços de Internet LTDA - ME > > > CNPJ: 08.776.401/0001-40 > > > (17) 3227-0686 / 9105-5392 > > > > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > __________ NOD32 3615 (20081115) Information __________ > > > > This message was checked by NOD32 antivirus system. > > http://www.eset.com > > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > __________ NOD32 3618 (20081117) Information __________ > > This message was checked by NOD32 antivirus system. > http://www.eset.com > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > __________ NOD32 3618 (20081117) Information __________ > > This message was checked by NOD32 antivirus system. > http://www.eset.com > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __________ NOD32 3618 (20081117) Information __________ This message was checked by NOD32 antivirus system. http://www.eset.com ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd