From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <stalker@altlinux.ru>
Message-ID: <470C66E1.5010600@altlinux.ru>
Date: Wed, 10 Oct 2007 09:45:05 +0400
From: Anton Gorlov <stalker@altlinux.ru>
User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <20071010093734.42b1874d@batyrshin.ieml.ru>
In-Reply-To: <20071010093734.42b1874d@batyrshin.ieml.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-Spam-Score: -2.6 (--)
X-Spam-Report: Spam detection software, running on the system "mail.espenza.ru", has
	identified this incoming email as possible spam.  The original message
	has been attached to this so you can view it (if it isn't spam) or label
	similar future email.  If you have any questions, see
	The administrator of that system for details.
	Content preview:  Timur Batyrshin пишет: > А есть в природе что-нибудь готовое
	наподобие этого: > Файрволл логирует дропнутые пакеты и потом на основании
	этого выносится > решение о блокировании некоторых адресов. Например, если
	какой-нибудь > китаец усердно перебирает пароли к ssh, или ломится по сети
	на 135 > порт (значит там наверняка троянец-спаммер), то можно его если не
	сеть, > то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
	> какой на него сделать). Что-то подобное есть в виндовозном каспере -- >
	"Блокировать сеть атакующего". [...] 
	Content analysis details:   (-2.6 points, 7.0 required)
	pts rule name              description
	---- ---------------------- --------------------------------------------------
	-1.7 ALL_TRUSTED            Passed through trusted hosts only via SMTP
	-1.1 BAYES_05               BODY: Bayesian spam probability is 1 to 5%
	[score: 0.0215]
	0.2 AWL                    AWL: From: address is in the auto white-list
X-Spam-Score2: -2.6 (--)
Subject: Re: [Sysadmins] IDS lists
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 10 Oct 2007 05:45:12 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/470C66E1.5010600@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Timur Batyrshin пишет:
> А есть в природе что-нибудь готовое наподобие этого:
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов. Например, если какой-нибудь
> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
> какой на него сделать). Что-то подобное есть в виндовозном каспере --
> "Блокировать сеть атакующего".

Я нечто подобное делал через --limit rate --limit-burs.. если слишком 
много соеднинений - делал drop