Ultimamente hay una especie de ataques a los servidores de correos y que puede hacerse de manera involuntaria por parte de los usuarios y es debido a algún virus, spyware o lo que sea que genera una cantidad de conecciones al servidor que lo terminan a veces haciendo un peque?o ataque DDOS.
A mi amigo Alessio se le ocurrio hacer una regla en la cual los usuarios que generan unas 10 conecciones simultaneas (SYN) al server de correo o al puerto 25 se los ingresa a una lista temporaria que les niega el puerto 25 del smtp durante 2 horas (que se puede configurar al tiempo que se quieras)
La reglas son:

chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=drop

chain=forward protocol=tcp dst-port=25 connection-limit=10,32 limit=50,5 action=add-src-to-address-list address-list=spammer address-list-timeout=2h

Es muy utíl para los ISP o proveedores de conectividad esta regla.

Technorati Tags: , ,