1) Простая конфигурация с блокировкой на 25 порту
Первая конфигурация предназначена для ограничения одновременных подключений на 25й tcp порт. Добавляет в address-list «spammer» на 12 часов заданный ip-адрес. Не допускается более 30 одновременных соединений. Грубо, но эффективно. Однако, соответствует политике защищенной сети.
/ip firewall filter add action=drop chain=forward comment="bloack spam" disabled=no dst-port=25 protocol=tcp \ src-address-list=spammer add action=add-src-to-address-list address-list=spammer address-list-timeout=\ 1d chain=forward comment="detect spam" connection-limit=30,32 disabled=no \ dst-port=25 protocol=tcp
2) Блокировка бота с маркировкой SMTP
Вторая конфигурация более изящна и предназначена для борьбы со спам ботами и рассчитана на то, что бот при попытке соединиться с заданным smtp-сервером 1 раз при недоступности оного прекратит повторные попытки. IP-адрес первый раз попадает в address-list first-smtp, при повторной попытке — в approved-smtp. Первое соединение всегда отбрасывается, при этом генерируется icmp сообщение network-unreachable. Новые соединения маркируются в /ip firewall mangle c меткой smtp.
/ ip firewall mangle add chain=prerouting connection-state=new protocol=tcp src-port=1024-65535 dst-port=25 action=mark-connection new-connection-mark=smtp passthrough=no
/ ip firewall filter add action=jump chain=forward comment="anti-spam policy" connection-mark=smtp \ disabled=no jump-target=smtp-first-drop add action=add-src-to-address-list address-list=approved-smtp \ address-list-timeout=1d chain=smtp-first-drop comment="" disabled=no \ src-address-list=first-smtp add action=return chain=smtp-first-drop comment="" disabled=no \ src-address-list=approved-smtp add action=add-src-to-address-list address-list=first-smtp \ address-list-timeout=1d chain=smtp-first-drop comment="" disabled=no add action=reject chain=smtp-first-drop comment="" disabled=no reject-with=\ icmp-network-unreachable
Как-то нелогично всё.
1. т.е. даётся лимит на 30 исходящих в день?
А реально, чтобы найти, точнее нашёлся, лучше блокировать на уровне Raw. Сам вызовет, бл…
А ежели активно кто-то отписывается? Тут поумнее нужно, чтоб в белый не вносить, ибо тоже подвержен, иной алгоритм нужон.
2. Боты быстро учатся, два шага, или даже двадцать, — не вариант решения, а вариант отсро/ачивания.
И, наконец, всё это нужно делать с минимальными затратами ресурсов маршрутизатора, стараясь не создавать надолго объёмные Address-листы, но и не мешая юзерам. Ибо такая технология порой сильно тормозит.
По мне проще создать скрипт, который оценивает трафик на 25 порт и по превышению (м.б. со своим белым /чёрным маском) сообщал админу, который в состоянии прологгировать и выяснить нужный адрес. потому как по трёхстам компов вне домена — не набегаешься. А доменов я — не люблю!!!!
Вот тогда легко оперделить, кого лечить, сегодня такое делал, Кашпер бизнес им — не помог! Троян был!
В целом, приемы не новы, хоть и малорезалтабельны, но приемлемы
п.1.
В общем, для небольшого почтового траффика, — неплохо, для секретаря, или диспетчера, порой, надо другие лимиты, но это не сложно добавить, но трояны подстраиваются, однако. Потому ставим оценку ЧЕТЫРЕ (ну из пяти)
п.2. Весьма Обычная обманка, по которой каждый в сердцах сможет попасть в траппинг/лок.
Кроме того, при весьма обширном списке ин_юзеров, растёт нагрузка на маршрутизатор из-за затрат на поддержание растущего списка Аддресс-листа. Траффик тоже падает, порой значительно! Исходный код можно ускорить, но тормозить всё одно будет! И почему-то весьма значительно!
Оценка ЧЕТЫРЕ.
Выводы:
Тут читал запрос от какого-то админа, у которого 300 станций на адресе:
Дык вот, проще сделать на основании п.1 (ну 10-30 дадим как первый фильтр) счетчик обращений с одного адреса на 25 порт, а заодно и иной порт, с секьюритизацией (не помню, — мне лишнее).
Можно и ещё раз, без блокировок…. (Не надо учить ИИ Бота)
При превышении заданного значения, Mikrotik можно настроить на извещение Админа любым методом с указанием IP/MAC-адреса спаммирующего компа.
Вычислить который потом несложно — пропинговав, или пользуя ARP. (Вы знаете такую команду и сервис?)
Сегодня, такое делал, но только по логам. Вычислил, и, несмотря на обновлённый Кашпер Бизнес, троян — сидел!!!
А то вызвали по поводу: Пров глушил спамминг!