0 Список сравнения
0 Избранные товары
0
Страницы: 1
Защита от спама Mikrotik, Почтовый сервер
 
В интернетах есть такой пример для защиты от брута паролей внутренних серверов - mail или SSH например.

Код
/ip firewall filter
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"

add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list
address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"



С первой частью все ясно - она блокирует соединения на 25 порт с тех адресов, которые есть в определенном адрес-листе. Но вот не совсем ясно со второй частью. Хотелось бы от знающих людей пояснения, а не методом тыка подбирать настройки.

Задача - запретить спамеру с некоего ip пробовать пароли к SMTP серверу, работающему на 25 порту.

В текущем виде это правило не работает как надо - чтобы оно сработало, надо чтобы спамер сразу 30 соединений открыл с одного ip адреса в течении 50 сек, только тогда оно добавит его ip в адрес лист. Это защита от жестокого брута каким то ботнетом к примеру.

В реале имеем, что спамер по очередно с паузами пробует пароли к SMTP и не открывает более  1 соединения за раз, а в итоге получается шлет однотипные пакеты на 25 порт каждые 10-20 секунд. Естественно, реальный пользователь не пытается авторизоваться на сервере с частотой 1 раз в 10 сек.

Собственно сабж: Как поправить это правило, чтобы оно считало кол-во пакетов пришедших на 25 порт в единицу времени и с 1 ip адреса -  например, если за 60 сек пришло более 10 пакетов на порт 25 (более 10 попыток авторизации) - вызвать срабатывание правила и добавить ip в спам-лист.
 
UPDATE:
Нашел вот еще вариант блокировки спама:

Код
ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment=”drop ftp brute forcers”

ip firewall filter add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst-limit=1/1m,9,dst-address/1m

ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorrect” address-list=ftp_blacklist address-list-timeout=1h


Но как узнать какую ошибку возвращает тот же SMTP\POP\IMAP протоколы (ну и все остальные) в случае неверной авторизации, чтобы прописать в tcp content, и на сколько это будет действенно?
 
Решение по прежнему не найдено....
 
Здравствуйте!
Решилась ваша задача?
Специально зарегистрировался на форуме, тема актуальная.
Вот, нашел статью на английском, сам ещё не опробовал.
Страницы: 1