Ja - ganz schön blöd sowas... Ich hatte auch mal so nen Fall - nur hab ich das bemerkt, bevor ich Post vom Provider bekam. Ich hab damals für den Node, an dem der Nutzer mit dem verseuchten Computer hing (...ich nehme doch an, daß das hier keiner mit Absicht macht) auf meinem Gateway eine iptables-Regel benutzt, um jeglichen Verkehr über Port 25 (smtp) der von diesem Node stammte, einfach wegzuschmeißen. (Auf meine Nachricht an den Nodebesitzer...erfolgte leider keinerlei Reaktion damals.)
iptables -I FORWARD -p tcp --dport 25 -s 104.61.XXX.XXX -j DROP in die /etc/local.fw nach --> start) Wenn Du den Node nicht identifizieren kannst, dann kannst auch den Parameter "-s" - und die IP - weglassen - dann ist der Port für alle zu. Es gibt da ein nettes Zusatzpaket von Björn, was es einfacher macht, mal einen Blick auf die zur Zeit gerade offenen Verbindungen und die dazu benutzten Ports zu werfen - dadurch und natürlich, weil der Traffic ständig hoch war, ist es mir damals aufgefallen ipkg install http://h965133.serverkompetenz.net/ipkg/ conntrack_1.3_mipsel.ipk Danach hast Du einen weiteren Menüpunkt "Conntrack" im Webinterface mit einer übersichtlichen Darstellung... Über "Logs" --> "Verbindungen" ist das zwar auch möglich - jedoch fehlen dort die benutzten Ports, so daß Du den "Übeltäter" nicht so leicht identifizieren kannst. Das sperren von Port 25 auf Deinem Gateway (zumindest temporär) sollte eigentlich kaum zu Problemen führen, denn die allermeisten Mail-Provider bieten den Zugang über verschlüsselte Zugänge an - die laufen über einen anderen Port und wären davon nicht betroffen - daß jemand Spam über solche gesicherten Verbindungen massenhaft verschickt ist eher unwahrscheinlich. Wer davon betroffen wär, hätte so gleich einen Grund, mal auf gesicherte Übertragungswege umzusteigen ;) Wenn es ein PC ist der per LAN an einem Node hängt, dann hat u.U. auch eine Benachrichtigung des jeweiligen Nodebesitzers Erfolg - vielleicht erfährt er ja erst dadurch davon, was auf seinem PC los ist und ist Dir dankbar... Irgendwie benachrichtigen würd ich sowieso - auf der Startseite und auf der Splash-Seite für die WLAN-Clients - Mail an alle wär wohl doch zuviel Arbeit. Viel Glück und hoffentlich passierts nicht noch mal! Jochen _______________________________________________ freifunk-leipzig mailing list [email protected] https://lists.subsignal.org/mailman/listinfo/freifunk-leipzig
