[FUG-BR] RES: RES: PF + Tarpitting [SOLVED]

Victor victor_volpe em bol.com.br
Segunda Novembro 17 18:01:04 BRST 2008 

Olá,

Positivo e operante chefia. Funcionou perfeitamente. Estou utilizando:

pass in on $ext_if proto tcp to any \
    port www keep state \
    (source-track rule, max-src-states 50)

Não deixa criar mais que 50 conexões, antes que as outras expirem ! Ficou 
joia ! Muito obrigado mesmo. A respeito do tableexpire irei testar mais 
tarde, mas acho que é tipo de um "gato" pra dar flush na tabela após um 
determinado tempo. Acho que neste caso ai é mais facil usar um "pfctl -t 
abusive_hosts -T flush" em uma cron de 5 em 5 mins.

Valew !!!


--
Atenciosamente,
Victor Gustavo Volpe
Diretor Executivo
Grupo Total Serviços de Internet LTDA - ME
CNPJ: 08.776.401/0001-40
(17) 3227-0686 / 9105-5392

----- Original Message ----- 
From: "Marcelo Prota" <mprota em bsd.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Monday, November 17, 2008 3:42 PM
Subject: Re: [FUG-BR] RES: RES: PF + Tarpitting


Victor,

no proprio link [1] que voce passou existe uma outra regra [2] que talvez
resolva seu problema.

[1] http://www.openbsd.org/faq/pf/filter.html

[2] pass in on $ext_if proto tcp to $web_server \
               port www keep state \
               (max 200, source-track rule, max-src-nodes 100,
max-src-states 3)


2008/11/17 Ricardo Augusto de Souza <ricardo.souza em cmtsp.com.br>

> Victor,
>
> Então vc quer remover as entradas 'antigas' na tabela <abusive_hosts>,
> certo?
>
> Da uma lida sobre o expiretable. Um amigo meu utiliza no OpenBSD. Funciona
> legal.
>
>
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
> de Victor
> Enviada em: segunda-feira, 17 de novembro de 2008 13:07
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: PF + Tarpitting
> Prioridade: Alta
>
> Olá Ricardo,
>
> Correto meu amigo. Já fiz testes com menas e funciona perfeitamente. O
> porém
> é que alguns navegadores geram mais conexões do que o normal ou até mesmo
> pessoas que estão navegando pelo mesmo IP, e quando é atingido esse limite
> (overload), ele adciona os IP's a tabela abusive_hosts que é fixa e o IP
> fica bloqueado pra sempre, ao contrário da regra de IPTables que só
> bloqueia
> as conexões até as outras serem CLOSED.
>
> Obrigado.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> ----- Original Message -----
> From: "Ricardo Augusto de Souza" <ricardo.souza em cmtsp.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Monday, November 17, 2008 11:30 AM
> Subject: [FUG-BR] RES: PF + Tarpitting
>
>
> Vitor,
> Aparentemente sua regra esta correta.
> Seu teste abre 100 conexoes com 15 conexoes novas a cada 5 segundos?
> Tente fazer um teste com menos conexões para se certificar que não esta
> funcionando.
>
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
> de Victor
> Enviada em: segunda-feira, 17 de novembro de 2008 12:17
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] PF + Tarpitting
>
> Olá Renato,
>
> Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao 
> flood
> de conexões feito por um script em Perl que gera quantas conexões você
> quiser no alvo e consequentemente o apache para de responder, 
> simplificando
> é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te
> explico melhor e se desejar efetuo o ataque em seu apache para você ver
> como
> funciona.
>
> Obrigado.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> ----- Original Message -----
> From: "renato martins" <renatobsd em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Monday, November 17, 2008 10:35 AM
> Subject: Re: [FUG-BR] PF + Tarpitting
>
>
> Você está usando pf para proteger seu apache de spam ?
> apache é seu servidor de sites no máximo spammers podem coletar emails de
> seu site para envia para eles spam mas desta forma seu usuário receberia 
> um
> caminhào de spam e não seria taxados como spammers.
>
> Se seus usuários está sendo marcos como spammers provavelmente eles sejão,
> até involuntariamente pois suas máquinas podem estar contaminadas com
> vírus,
> warms e outros ou estão mandando email marketing mesmo.
>
>  quanto á isso você não vai resolver com pf nem ipfw a menos que você
> descubra os usuarios que estào fazendo isso e feche eles no firewall para
> que não usem servidores smtp externos e em alguns casos como contaminados
> por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
> util nesses casos.
>
> oriente seus usuários nào clicarem links em emails desconhecidos ou
> duvidoso
> , recomende o uso de ant-virus e ant-spyware
>
> 2008/11/16 Victor <victor_volpe em bol.com.br>
>
> > Olá Cristina,
> >
> > Agradeço sua resposta. Será que você teria tal regra para IPFW ?
> >
> > Obrigado.
> >
> >
> > --
> > Atenciosamente,
> > Victor Gustavo Volpe
> > Diretor Executivo
> > Grupo Total Serviços de Internet LTDA - ME
> > CNPJ: 08.776.401/0001-40
> > (17) 3227-0686 / 9105-5392
> >
> > ----- Original Message -----
> > From: "Cristina Fernandes Silva" <cristinafs.listas em gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Saturday, November 15, 2008 11:14 PM
> > Subject: Re: [FUG-BR] PF + Tarpitting
> >
> >
> > Ja tentou usar o IPFW ??
> >
> > 2008/11/15 Victor <victor_volpe em bol.com.br>:
> > > Olá amigos,
> > >
> > > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de 
> > > spam
> > > (httpd.pl). Estou no momento usando uma regra apresentada nos
> documentos
> > > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
> > >
> > > table <abusive_hosts> persist
> > > block in quick from <abusive_hosts>
> > >
> > > pass in on $ext_if proto tcp to $web_server \
> > >    port www flags S/SA keep state \
> > >    (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts>
> > > flush)
> > >
> > > Porém vários usuários estão sendo taxados como spammers indevidamente.
> > > Vi
> > > no
> > > man page do PF que é possível fazer um tarpit para os overloads, o que
> > > seria
> > > mais interessante do que adcionar os IP's em uma black list 
> > > definitiva.
> > > Não
> > > sei que software pode ser utilizado para fazer este tarpit ou mesmo
> como
> > > redirecionar a table para ele. Não consegui nada no Google, apenas
> > > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
> > > constar, quando eu usava Linux, utilizava a seguinte regra no iptables
> e
> > > funcionava perfeitamente:
> > >
> > > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
> > > recent --set --name ANTISPAM -j ACCEPT
> > > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
> > > 5 --hitcount 15 --name ANTISPAM -j DROP
> > >
> > > Obrigado.
> > >
> > > --
> > > Atenciosamente,
> > > Victor Gustavo Volpe
> > > Diretor Executivo
> > > Grupo Total Serviços de Internet LTDA - ME
> > > CNPJ: 08.776.401/0001-40
> > > (17) 3227-0686 / 9105-5392
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > __________ NOD32 3615 (20081115) Information __________
> >
> > This message was checked by NOD32 antivirus system.
> > http://www.eset.com
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> __________ NOD32 3618 (20081117) Information __________
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> __________ NOD32 3618 (20081117) Information __________
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

__________ NOD32 3618 (20081117) Information __________

This message was checked by NOD32 antivirus system.
http://www.eset.com

Mais detalhes sobre a lista de discussão freebsd