Re: Объясните плиз про SMTP-проксирование

[Виктор Вислобоков]

> В стандартном файрволе такой фичи нет (во всяком случае насколько мне
> известно).
> Есть расширение к iptables которое называется ip_conn_track, но в ядро оно
> не включено и поскольку на одном из моих серверов использование этого
> расширения привело к panic ядра, я его использовать теперь опасаюсь.
>
> Какие-то вы странные вещи рассказываете. Или у вас очень древняя система.
> man iptables(дальше поиск по connlimit) Это модуль уже давно в стандартной
> поставке ядра.
>

Древняя в том-то и дело: Fedora5 :(
И connlimit как раз не работает - нет такого модуля в дефолтной поставке
ядра


>
> Можно и в exim'е это ограничить, причем с любой степенью извращенности,
> директивой smtp_accept_max_per_host. Она expand'ится до рождения потомка на
> обработку сообщения... Хоть динамические черные списки по фазам луны
> делайте.
>

Угу, угу, smtp_max_per_host стоит в 1. При этом netstat показывает попытку
открыть 5 и более коннектов с одного IP. Да, exim разумеется коннект не
допустит и соединение закроет, только вот всё это занимает время (несколько
секунд на отпинывание одного коннекта). В итоге просто забиваются все
доступные коннекты и начинается отпинывание  уже хороших хостов, потому что
превышено максимальное количество коннектов. Димнамические фильтры есть - не
спасает при таком объёме спамеров.

Пошёл уже чистый оффтоп, если интересны подробности - можете в личку.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20090710/b6c8333a/attachment.html>