Мэрфолог-практик
для пропуска ftp через nat надо на роутере сделать примерно следующее modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp с прописью модулей в /etc/modules или так (не проверено) iptables -A INPUT -p tcp -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT iptables [...]
есть такой модуль для iptables – geoip. нужен он для того, чтобы фильтровать пакеты по географическому признаку. по умолчанию в комплект поставки это счастье не входит, тк что собирать его придётся руками. неполохое описание этого процесса есть здесь на русском или здесь на английском. версии немного отличаются.
прикрутил в файрволу модуль goip и забанил к чёртовой матери Азию, Африку и Латинскую Америку по 25-му порту. количество отбитого постфиксом спама упало раза в два. внимательно наблюдаю за тем, из каких стран не попавших в банлист идёт спам. Польша, Германия, Штаты, и, естественно, Россия. рад бы забанить целиком, но нельзя – почта должна ходить.
смотрю логи вчерашнего всплеска спама и думаю вот над чем: ботнетовские компы пытаются одновременно поднять несколько соединений. как правило 5 – 7, есть всплески до 10 – 20, но их немного. похоже, что придётся поднимать ещё одну линию обороны на брандмауэре. будем ограничивать количество одновременных соединений с одного IP примерно такой конструёвиной: iptables -A INPUT [...]
#!/bin/bash # определяем интерфейсы # внутренний интерфейс INTIF=eth0 # внешний интерфейс EXTIF=eth1 # канал в инет PPPIF=ppp0 # внутренний адрес понятие более менее статическое INTIP=192.168.1.1 INTNET=192.168.1.0/24 # внешний адрес скорее всего выдаётся динамически EXTIP=ifconfig $EXTIF | awk “/inet addr/{print \$2}” | tr -d “inet addr:” PPPIP=ifconfig $PPPIF | awk “/inet addr/{print \$2}” | tr -d [...]
[Всё не так просто… is proudly powered by WordPress.]
