Mikrotik и флуд по 25 порту

[Dark Neo]

Пытаюсь решить проблему ограничения флудного вирусного трафика по 25 порту, из-за чего сервак постоянно попадает в PBL.

Имеется: Mikrotik 2.9

В идеальном случае необходимо на микротике реализовать такое же правило, как для iptables

iptables -A FORWARD -p tcp --dport 25 -m limit --limit 5/hour --limit-burst 10 -j DROP -i eth1 --src 10.6.27.144

Т.е. пользователь после превышения 10 пакетов за раз сможет отправлять только по 5 в час. Это правило на iptables работает без особых проблем, но на микротике почему-то пропускает все подряд пакеты.

Уже пробовал гуглить и читать форум самого микротика. Правила типа:

Код: Выделить всё

/ ip firewall filter
add chain=forward action=add-src-to-address-list dst-port=25 protocol=tcp \
    src-address-list=spammer address-list=WasASpammerOnce \
    address-list-timeout=0s comment="Log Spammer to address list for future \
    investigation" disabled=no
add chain=forward action=tarpit dst-port=25 protocol=tcp \
    src-address-list=spammer comment="BLOCK SPAMMERS OR INFECTED USERS" \
    disabled=no
add chain=forward action=add-src-to-address-list dst-port=25 protocol=tcp \
    connection-limit=30,32 limit=50,5 src-address-list=!WhiteListed \
    address-list=spammer address-list-timeout=30m comment="Detect and add-list \
    SMTP virus or spammers" disabled=no

Отсюда

и отсюда

Код: Выделить всё

/ip firewall filter

add chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"

add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list
address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"

уже пробовал практически во всех вариантах -- не помогает.

Кто что может посоветовать в борьбе со спамом?

[IMB]

Пытаюсь решить проблему ограничения флудного вирусного трафика по 25 порту, из-за чего сервак постоянно попадает в PBL.
................................................................
Кто что может посоветовать в борьбе со спамом?

Как мне кажется Вы немного нестой стороны подходите к решению проблемы. Даже если Вы установите еще меньший лимит, сервер все равно будет попадать в RBL, по причине того, что занимается рассылкой спама и вирусов.
Может лучше закрыть smtp-порт, а клиентов пустить через свой сервер? Тогда Вы быстрее вычислите "доброжелателя".

[Dark Neo]

Доброжелателей мы и так хорошо находим, благополучно ловим, но этого мало.

А что Вы конкретно имеете под

Может лучше закрыть smtp-порт, а клиентов пустить через свой сервер?

? Все пакеты на 25 порт в Интернет идут на наш сервер, он фильтрует спам и отсылает почтовым? Или не так?

[IMB]

Я не очень силен в теории, но...

проблему ограничения флудного вирусного трафика по 25 порту, из-за чего сервак постоянно попадает в PBL

Я так понимаю, что Вам не нравится нагрузка на smtp-сервер. А в RBL, насколько мне известно, можно попасть только если Вы рассылаете спам. Отсюда я делаю вывод - ваши клиенты ходят минуя сервер или у Вас открыт reley.

Все пакеты на 25 порт в Интернет идут на наш сервер, он фильтрует спам и отсылает почтовым

Все же все заворачивается на Ваш сервер. Но какой спам он фильтрует? У Вас reley? Или ваши клиенты его рассылают?

Что то я запутался и не понимаю устройства Вашей почтовой системы. Может поподробнее опишите? И давайте еще определимся - Вы хотите настроить Mikrotik или уменьшить количество принимаемого спама?

[Dark Neo]

Хорошо, по порядку.

Имеется сервер на дебиане, который является интернет-шлюзом. На нем идет учет трафика, внутренний почтовый сервер, сайт, ftp.

На другой сетевой интерфейс сервера подключается свич (D-Link коммутируемый). Затем в этот свич втыкаются отдельные сегменты городской сети, сначала маршрутизаторы на Микротике (4 сегмента - 4 маршрутизатора), потом клиенты (непосредственно к маршрутизаторам).

Мне все это досталось в таком состоянии, что каждому клиенту выдана собственная учетная запись, которая привязана к IP-адресу, на сервере сделан простой-припростой NAT. Когда у клиента на счету заканчиваются деньги, то его IP-адресу блокируется средствами iptables выход в интернет (трафик просто не идет с одного интерфейса на другой).

Фильтрации трафика нет практически никакой, разве что закрыты NetBIOS порты на микротиках, чтобы не игрались в игрушки.

Фильтрации остального трафика, похоже, тоже нет. И все эти клиенты, которые не играют в игрушку, а смотрят *уху* рассылают спам =)

Мне желательно как-то бороться с рассылкой спама любым способом.

[IMB]

"Семен Семенович!!!" ©
Кажется доперло - вы являетесь провайдером местного значения. В организации с этим попроще бы было.
По Mikrotik ничего посоветовать не могу, но http://www.mikrotik.com/testdocs/ros/3.0/qos/filter.php описывает интересные опции:

Код:

.................................................. connection-limit (integer,netmask) - restrict connection limit per address or address block ........................................... connection-state (estabilished | invalid | new | related) - interprets the connection tracking analysis data for a particular packet estabilished - a packet which belongs to an existing connection, exempli gratia a reply packet or a packet which belongs to already replied connection invalid - a packet which could not be identified for some reason. This includes out of memory condition and ICMP errors which do not correspond to any known connection. It is generally advised to drop these packets new - a packet which begins a new TCP connection related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection (the later requires enabled FTP connection tracking helper under /ip firewall service-port) ......................................... limit (integer/time{0,1},integer) - restricts packet match rate to a given limit. Usefull to reduce the amount of log messages count - maximum average packet rate, measured in packets per second (pps), unless followed by time option time - specifies the time interval over which the packet rate is measured burst - number of packets to match in a burst ............................................

Кстати, обратил внимание на правила фильтрации из первого поста - все они описывают цепочки FORWARD. Отсюда можно сделать вывод, что клиенты ходят минуя Ваш почтовый сервер.
На первый взгляд решения три:
- запретить отправку почты миную Ваш сервер
- блокировать "доброжелателей"
- забить, ведь в результате хуже станет только пользователям - на сайте разместить объявление с описанием причин.
Но тут возникает вопрос - какие обязательства у сторон?
И, на мой взгляд, при текущей постановке вопрос не решается в принципе.

[Dark Neo]

"Семен Семенович!!!" ©

Александр Александрович.

Кажется доперло - вы являетесь провайдером местного значения. В организации с этим попроще бы было.
По Mikrotik ничего посоветовать не могу, но http://www.mikrotik.com/testdocs/ros/3.0/qos/filter.php описывает интересные опции:

Ага. Клиентов около 200. Эти опции для микротика уже пробовал, изкурил мануал до дыр. Не помогает.

На первый взгляд решения три:
- запретить отправку почты миную Ваш сервер

Т.е. почта приходит сначала нам, потом уже мы ее шлем на mail.ru, gmail.com, yandex.ru и т.п. предварительно отфильтровав спам средствами postfix/postgrey и подобными или как-то не так?

- блокировать "доброжелателей"

Они звонить начинают и орут в трубку "У нас почта на отправляется!!!!".

- забить, ведь в результате хуже станет только пользователям - на сайте разместить объявление с описанием причин.

Пробовали, не помогает. Они где только таких вирусов наберут, то свой мак подменят на мак маршрутизатора, в результате весь сегмент отрубается, то начнут спам рассылать, то друг друга досить начнут. Мы же не напишем на сайте, мол сами нахватали вирусов, сами и разбирайтесь =).

[IMB]

Т.е. почта приходит сначала нам, потом уже мы ее шлем на mail.ru, gmail.com, yandex.ru и т.п. предварительно отфильтровав спам средствами postfix/postgrey и подобными или как-то не так?

Именно, для верности можно еще, а в Вашем случае скорее даже нужно, разрешать отправку только по логину/паролю.

[Dark Neo]

Можно ссылку на пример реализации (Ман по реализации)?

[IMB]

Ссылку на что? Как закрыть форвардинг или как настроить Ваш почтовый сервер?

[Dark Neo]

На любое, что может помочь =) Кроме гугла. Его знаю, как спросить не знаю.

[IMB]

Документация на почтовые сервера:
Exim - http://exim.org/ , на русском - http://www.lissyara.su/?id=1200
Postfix - http://www.postfix.org/documentation.html

[Dark Neo]

Спасибо. Буду изучать.