[FUG-BR] RES: RES: PF + Tarpitting

Ricardo Augusto de Souza ricardo.souza em cmtsp.com.br
Segunda Novembro 17 14:21:17 BRST 2008 

Victor,

Então vc quer remover as entradas 'antigas' na tabela <abusive_hosts>, certo?

Da uma lida sobre o expiretable. Um amigo meu utiliza no OpenBSD. Funciona legal.




-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Victor
Enviada em: segunda-feira, 17 de novembro de 2008 13:07
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] RES: PF + Tarpitting
Prioridade: Alta

Olá Ricardo,

Correto meu amigo. Já fiz testes com menas e funciona perfeitamente. O porém 
é que alguns navegadores geram mais conexões do que o normal ou até mesmo 
pessoas que estão navegando pelo mesmo IP, e quando é atingido esse limite 
(overload), ele adciona os IP's a tabela abusive_hosts que é fixa e o IP 
fica bloqueado pra sempre, ao contrário da regra de IPTables que só bloqueia 
as conexões até as outras serem CLOSED.

Obrigado.


--
Atenciosamente,
Victor Gustavo Volpe
Diretor Executivo
Grupo Total Serviços de Internet LTDA - ME
CNPJ: 08.776.401/0001-40
(17) 3227-0686 / 9105-5392

----- Original Message ----- 
From: "Ricardo Augusto de Souza" <ricardo.souza em cmtsp.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Monday, November 17, 2008 11:30 AM
Subject: [FUG-BR] RES: PF + Tarpitting


Vitor,
Aparentemente sua regra esta correta.
Seu teste abre 100 conexoes com 15 conexoes novas a cada 5 segundos?
Tente fazer um teste com menos conexões para se certificar que não esta 
funcionando.



-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome 
de Victor
Enviada em: segunda-feira, 17 de novembro de 2008 12:17
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] PF + Tarpitting

Olá Renato,

Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood
de conexões feito por um script em Perl que gera quantas conexões você
quiser no alvo e consequentemente o apache para de responder, simplificando
é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te
explico melhor e se desejar efetuo o ataque em seu apache para você ver como
funciona.

Obrigado.


--
Atenciosamente,
Victor Gustavo Volpe
Diretor Executivo
Grupo Total Serviços de Internet LTDA - ME
CNPJ: 08.776.401/0001-40
(17) 3227-0686 / 9105-5392

----- Original Message ----- 
From: "renato martins" <renatobsd em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, November 17, 2008 10:35 AM
Subject: Re: [FUG-BR] PF + Tarpitting


Você está usando pf para proteger seu apache de spam ?
apache é seu servidor de sites no máximo spammers podem coletar emails de
seu site para envia para eles spam mas desta forma seu usuário receberia um
caminhào de spam e não seria taxados como spammers.

Se seus usuários está sendo marcos como spammers provavelmente eles sejão,
até involuntariamente pois suas máquinas podem estar contaminadas com vírus,
warms e outros ou estão mandando email marketing mesmo.

 quanto á isso você não vai resolver com pf nem ipfw a menos que você
descubra os usuarios que estào fazendo isso e feche eles no firewall para
que não usem servidores smtp externos e em alguns casos como contaminados
por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
util nesses casos.

oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso
, recomende o uso de ant-virus e ant-spyware

2008/11/16 Victor <victor_volpe em bol.com.br>

> Olá Cristina,
>
> Agradeço sua resposta. Será que você teria tal regra para IPFW ?
>
> Obrigado.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> ----- Original Message -----
> From: "Cristina Fernandes Silva" <cristinafs.listas em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Saturday, November 15, 2008 11:14 PM
> Subject: Re: [FUG-BR] PF + Tarpitting
>
>
> Ja tentou usar o IPFW ??
>
> 2008/11/15 Victor <victor_volpe em bol.com.br>:
> > Olá amigos,
> >
> > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
> > (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
> > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
> >
> > table <abusive_hosts> persist
> > block in quick from <abusive_hosts>
> >
> > pass in on $ext_if proto tcp to $web_server \
> >    port www flags S/SA keep state \
> >    (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts>
> > flush)
> >
> > Porém vários usuários estão sendo taxados como spammers indevidamente.
> > Vi
> > no
> > man page do PF que é possível fazer um tarpit para os overloads, o que
> > seria
> > mais interessante do que adcionar os IP's em uma black list definitiva.
> > Não
> > sei que software pode ser utilizado para fazer este tarpit ou mesmo como
> > redirecionar a table para ele. Não consegui nada no Google, apenas
> > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
> > constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
> > funcionava perfeitamente:
> >
> > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
> > recent --set --name ANTISPAM -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
> > 5 --hitcount 15 --name ANTISPAM -j DROP
> >
> > Obrigado.
> >
> > --
> > Atenciosamente,
> > Victor Gustavo Volpe
> > Diretor Executivo
> > Grupo Total Serviços de Internet LTDA - ME
> > CNPJ: 08.776.401/0001-40
> > (17) 3227-0686 / 9105-5392
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> __________ NOD32 3615 (20081115) Information __________
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

__________ NOD32 3618 (20081117) Information __________

This message was checked by NOD32 antivirus system.
http://www.eset.com


-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

__________ NOD32 3618 (20081117) Information __________

This message was checked by NOD32 antivirus system.
http://www.eset.com


-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd