[postfix-es] para evitar conexiones multiples ?

Simon J Mudd sjmudd en pobox.com
Mie Sep 24 19:40:06 CEST 2003 

gcanales en manquehue.net (Guillermo Canales) writes:

> Escribo para contarles que tengo un gran problema con ataques que conectan 
> múltiples veces para saturar el servicio. 

> Tengo postfix mail_version = 1.1.7

Es una versión bastante antiguo.  Recomendaría que actualices al menos
al último 1.1.

> De que manera puedo limitar el máximo de conexiones smtp totales

Para modificar el número de conexiones de SALIDA (clientes smtp) con
una modifiación de master.cf y la fila que habla de smtp (cliente, no
smtpd), reduciendo el número de procesos permitidos.

Para modificar el número de conexiones de ENTRADA (servidor smtp) con
una modificación de master.cf y la fila que habla de smtpd, realizando
el mismo proceso.

> y/o De que manera puedo limitar el maximo de conexiones smtp por
> host para evitar este tipo de ataques ?

Si la ip es fija con iptables/ipchains/....  En realidad el ataque
solo puede afectar al número de servidores que tengas puesto.  Por
defecto creo que el número máximo de procesos está en torno al 50.

> Estoy tratando de evitar este ataque de la manera correcta ?

Depende un poco del tipo de ataque que tienes.

> No quiero meterme con el firewall....... quiero lograr controlar
> esto solo con postfix.

Quizá un firewall va a ser más facil si viene de un único sitio.

> (Es inutil incluir las ip en la tabla access por lo que el servicio se satura 
> por número de conexiones).
> 
> De muestra un boton :
> 
> Sep 23 13:51:45 roma postfix/smtpd[9967]: reject: RCPT from 
> CM-lcon3-45-107.cm.vtr.net[200.83.45.107]: 554 
> <CM-lcon3-45-107.cm.vtr.net[200.83.45.107]>: Client host rejected: Access 
> denied; from=<avm en vtr.net> to=<www.mariajosevarela en epersonas.net>
> Sep 23 13:51:48 roma postfix/smtpd[9802]: reject: RCPT from 
> CM-lcon3-45-107.cm.vtr.net[200.83.45.107]: 554 
> <CM-lcon3-45-107.cm.vtr.net[200.83.45.107]>: Client host rejected: Access 
> denied; from=<avm en vtr.net> to=<billakins en worldnet.att.net>
> Sep 23 13:51:49 roma postfix/smtpd[10217]: reject: RCPT from 
> CM-lcon3-45-107.cm.vtr.net[200.83.45.107]: 554 
> <CM-lcon3-45-107.cm.vtr.net[200.83.45.107]>: Client host rejected: Access 
> denied; from=<avm en vtr.net> to=<savearound en aol.com>
> Sep 23 13:51:53 roma postfix/smtpd[10125]: reject: RCPT from 
> CM-lcon3-45-107.cm.vtr.net[200.83.45.107]: 554 
> <CM-lcon3-45-107.cm.vtr.net[200.83.45.107]>: Client host rejected: Access 
> denied; from=<avm en vtr.net> to=<savearound en aol.com>
> 
> (el Access denied es por que tengo sasl, pero tambien inclui esa ip en la 
> tabla access por si acaso)

Es una única ip por lo que usaría algo como iptables/ipfw, según tu so.

>  postconf -n
[snip]

Parece correcto.

Simon
-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.

Más información sobre la lista de distribución Postfix-es