Am Fri, 13 Jun 2008 17:14:48 +0200 schrieb tetzlav:
> André schrieb:
>> Hallo,
>>
>> als HNA-Betreiber (75-39) habe ich nette Post von der T-Com erhalten.
>> Aktuell kann ich leider keine e-Mail versenden (außer per Webmail
>> natürlich).
hatte ich vor 7-8 jahren mal, noch mit modem und so
(lustigerweise hatte ich mir selber spam geschickt, was wieder einiges
ueber deren ueberwachungsmanie aussagt ;)
> um übermäßigen Spam-Versand Einhalt zu gebieten kannst du mal folgendes
> testen: (von mir schnell aus dem Kopf und C&P zusammenbastelt,
> UNGETESTET, Regeln immer ohne Zeilenumbrüche!)
dazu noch 1-2 gedanken: layer7 scheint mir bisschen overkill zu sein,
weil ein trojaner normalerweise ja mail ausliefern will und smtp
sowieso auf dem standard port laueft, zweitens erkennts smtps natuerlich nicht
(tls auf port 25 schon, oder?)
und 2.: du limitest damit natuerlich pauschal alle absender
hmm, hab auch mal gekramt in meiner firewallkiste
ich splitte ja gern alles in einzelne chains auf, muss mensch sich
sicher erstmal reindenken, ausserdem ungestestet auf wrt,
keine ahnung wies da mit /etc/protocols und -m multiport usw. aussieht
(beim 2.4er hiess es noch mport, glaub ich), und bei hashlimit
bin ich mir auch nicht sicher obs das schon gab...
aber vll. kanns ja wer fuer irgendeinen router mit 2.6er kernel brauchen
MAIL_OUT="20/hour" # 3/minute... 5/second... whatever
BLOCK_SMTP="900" # solange muss ruhe sein, sonst wird absender weiter
geblockt
LOG_OPTS="" # naja, was einem halt so einfaellt, limit usw.
# innerhalb $MAIL_OUT pro ip -> RETURN
# alles ueber dem limit -> DROP
# und absender landet in /proc/net/ipt_recent/trojan
$IPT -F SMTP 2>/dev/null
$IPT -X SMTP 2>/dev/null
$IPT -N SMTP 2>/dev/null
$IPT -A SMTP -m hashlimit --hashlimit-mode srcip \
--hashlimit-name ssh --hashlimit $MAIL_OUT \
-j RETURN
$IPT -A SMTP -j LOG --log-prefix "possible virenschleuder: " $LOG_OPTS
$IPT -A SMTP -m recent --set --name trojan --rsource -j DROP
# erste regel hab ich normalerweise in ner extra chain fuer "boese" tcp pakete,
# blockt solange bis $BLOCK_SMTP sekunden kein versuch stattfindet
$IPT -A FORWARD -p tcp -m multiport --dport smtp,smtps \
-m recent --update --seconds $BLOCK_SMTP \
--name trojan --rsource -j DROP
$IPT -A FORWARD -p tcp -m multiport --dport smtp,smtps -j SMTP
das gleiche geht uebrigens genauso fuer (bzw. gegen) ssh scans, dann eben nur
von der INPUT chain aufgerufen und mit etwas anderen werten (so 3/minute)
gruetze aus berlin!
_______________________________________________
freifunk-leipzig mailing list
[email protected]
https://lists.subsignal.org/mailman/listinfo/freifunk-leipzig
