AV>> Да - это единственный случай, когда демона SMTP нужно прикрывать AV>> пакетным фильтром (а в идеале еще и спамерский ботнет AV>> контратаковать). SA> Fail2ban универсальнее имхо, все в одном, можно не только почту SA> прикрывать, а вообще в теории все что угодно.
Прикрой им SSH, скажи мне адрес хоста и готовься бежать к консоли :-)
SA>>> Как это pешает пpоблему если тебе спаммеpы обсаживают 25 поpт с SA>>> pазных ip? AV>> А для этого существуют другие методы. Лично я использую DRBL - AV>> несмотря на еженедельные takedown request'ы, на которые я даже не AV>> утруждаюсь отвечать, эффективность оного превышает любые методы AV>> локальной фильтрации. SA> Погоди а спамассассин вроде юзает drbl?
Отсосин плох тем, что работает _после_ того, как спамер _уже_ получил 250 в ответ на rcpt to и таким образом убедился в том, что адрес живой.
А проверка по DNSBL (в том числе по DRBL) может производиться сразу после установки соединения. Что не в списках - ловим по несоответствию HELO, IP и PTR-записи.
SA>>> Один pаз сунулся и пpопал на веки вечные. Хоpошо если один, а SA>>> если таких спаммеpов много? Сабж вообще недопускает таких SA>>> спамеpов до SMTP демона AV>> Ага... и только ядерную память жрут. SA> Ну если реджектить средствами эксима например, то он тоже жрет. Тут SA> вопрос кто больше. Разве "ядерное" не означает экономично и надежно?
Увы, меньше sizeof(struct skb) на каждое соединение никак не получается...
SA> Ну в оффтопе pf считается крутым. Лично не юзал сказать нечего.
Говно. Почти все вынесено в userspace со всеми сопутствующими.
SA> Как себя iptables ведет в таких случаях тоже не могу сказать, пока SA> такие не встречались.
Я им (netfilter'ом) DDoS-атаки отбиваю - память жрет, но производительности хватает.
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Время выхода из лабиринта зависит от количества извилин --- /bin/vi * Origin: http://openwall.com/Owl/ru (2:5020/545)