ΠΕΡΙΟΡΙΣΜΟΣ ΕΞΕΡΧΟΜΕΝΗΣ ΑΛΛΗΛΟΓΡΑΦΙΑΣ ΑΠΟ ΓΡΑΜΜΗ ΤΟΥ ΟΤΕ

[Kostello]

Θα ηθελα την βοηθεια σας σε ενα προβλημα διοτι ο ΟΤΕ δεν μπορει να μου δωσει απαντηση λεει.

το προβλημα ειναι το εξης:
Σε ενα ξενοδοχειο χρησιμοποιυνται 4Χ24αρες adsl που μοιραζονται στους πελατες και στο προσωπικο για την προσβαση τους στο ασυρματο ιντερνετ.
καποιος καπου καποτε εχει κολλησει μαλλον καποιον ιο, και spammαρει μεσα απο τις γραμμες αυτες που βγαινει καθε φορα στον εξω κοσμο.
με αποτελεσμα ο ΟΤΕ να μπλοκαρει την αποστολη εξερχομενης αλληλογραφιας απο τις γραφες αυτες.
αφου ζηταμε ενεργοποιηση μετα απο λιγες μερες ξανα τα ιδια.
Επειδη ειναι αδυνατο να ελεχθουν 1000 διαφορετικοι υπολογιστες καθε εβδομαδα δεν μπορω να ξερω ποιος εχει κολλησει ιο ή αν καποιος spammαρει
επιτηδες, θελω να βαλω εναν περιορισμο στο ασυρματο δικτυο που να λεει οτι απο την καθε γραμμή δε θα φευγουν περισσοτερα απο ΧΧΧ email την ημερα. Μεσα απο τις υπηρεσιες του ΟΤΕ δεν γινετε αυτο. οποτε ψαχνω για καποιο software ή router που να κανει αυτη την δουλεια.
Χρησιμοποιω το pfsense για load balancing και αλλα διάφορα οποτε το traffic ολο περνάει απο εκει.και απο οτι εχω ψαξει δεν εχει αυτη τη δυνατοτητα αυτο το κατα τα αλλα κορυφαιο καταπληκτικο λογισμικο!

εχει καποιος αναλογη εμπειρια? εχετε κατι να προτείνετε?

[hedgehog]

κάτι τέτοιο το δοκίμασες;;;
http://forum.pfsense.org/index.php/topic,41679.0.html

[DVader]

κάτι τέτοιο το δοκίμασες;;;
http://forum.pfsense.org/index.php/topic,41679.0.html

Πως είναι η τοπολογία του δικτύου ? Servers/Proxies/Firewall υπάρχουν ? Το δίκτυο πως ελέγχετε ?
Έτσι σοβαρή απάντηση δεν θα πάρεις ....γιατί δεν μπορεί να σου δώσει ...Απάντησε στα παραπάνω να καταλάβουμε τι παίζει και τα λέμε πάλι...

[plouf]

τα 1000 PC θα βγαινουν εκτος οριων αποστολης έτσι και αλλίως (1 μαιλ ο καθενας και τελος)

πρεπει να χρησιμοποιησεις καποιον αλλο server αποστολης της εταιρίας hosting ktl
επίσης στους χρήστες που έχουν αλλα μαιλ πχ gmail hotmail ktl να χρησιμοποιουν τους δικούς τιους smtp και όχι του δικτυου

[pts]

Ο περιορισμός δεν γίνεται σε επίπεδο e-mail server αλλά σε επίπεδο traffic. Όταν τα εξερχόμενα SMTP πακέτα από το δίκτυο του πελάτη προς το δίκτυο του ΟΤΕ ξεπεράσουν κάποιο όριο μπλοκάρεται η πόρτα 25 του πελάτη.

Αυτό σημαίνει ότι ο πελάτης όσο βγαίνει στο Internet από το δίκτυο του ΟΤΕ δεν μπορεί να αποφύγει το συγκεκριμένο block ότι και να κάνει στο configuration του δικτύου του.

[dimitri_ns]

Για να πάρεις σαφείς απαντήσεις, θα πρέπει να περιγράψεις τοπολογία δικτύου.

Αλλά σαν πρώτη ιδέα, γιατί δεν σηκώνεις δικό σου mail server παρακάμπτοντας τον ΟΤΕ?


χεχε και να του στέλνεις μήνυμα να καθαρίσει το pc του

η με ανακοίνωση από μεγάφωνα " παρακαλείται ο κάτοχος του pc με ip xxx.xxx.xxx.xxx να προσέλθει στην reception γιατί εμποδίζει "

[pstratos]

Πολύ γλήγορα τα εξής:

Η ΟΤΕΝΕΤ κοβει την 25 αν σε βρει να σπαμάρεις. αυτό σε βολεύει.
Εσύ που θες να στείλεις μαιλ θα χρησιμοποιείς otenet me SSL/TLS και θα στέλνεις κανονικά (από τον server soy).

οι πελάτες σου δεν έχουν καμία δουλεια με το ΟΤΕΝΕΤ sendmail. Ας παιίξουν webamil, η στον δικό τους ISP με authentication. Δες το σαν Internet καφε.....

Αν θες να γίνεις καλός μαζί τους στείνεις postfix που στέλνει στην οτενετ (smart host) ή και απευθείας αν σου αρέσουν τα ξινά. Για κάθε πελάτη, ή με οποια πολιτική θες (per IP range, me radious me me me...) οι πελάτερς σου αποκτουν και τοπικό μαιλ (pelathw@visitor.hotel_kitsou.gr) με κανονικό SMTP/ IMAP/ oti_thes_esy.
Στον mail server soy τρεξε οτι φιλτρο / policy θες.

Αλλά γιατί να το κάνεις αυτό ????? Δόσε τους μονο web access -και κατα προτιμηση πισω απο proxy me logging etc, etc- και τελός.

πρόσεξε γιατι οτι γίνεται μέσα από το δυκτιό ΣΟΥ την ευθύνη την έχεις εσύ, εκτός και αν μπορείς να αποδείξεις οτι ο ενικος του 666 στις 3:45 μπήκε στον nbg.gr και σήκωσε 1.000.000€ !!

[DVader]

Χωρίς να ξέρω πολλά πράγματα για την τοπολογία που έχεις ....χρειάζεσαι ένα server που να ελέγχει το δίκτυο ...Οχι domain controller απαραίτητα αλλά network server. εκεί μπορείς να κάνεις πολλά ! radius, virus checking,mail send ....ktlp οπότε αν κάποιο ιό και spammari τον έχει κομμένο αρχικά σημειωμένο σε log και πλέον είναι γνωστός σε σένα ! Αρα του κτυπάς την πόρτα και του λες ότι έχει ιο και μάλιστα και ποιόν ...και του προτείνεις και καθαρισμό !

Περιέγραψε τι έχεις σαν εξοπλισμό τοπολογία και βλέπουμε !

[DSLaManiaC]

Βασικά εξαρχής δε κατανοώ τους λόγους για τους οποίους σε ένα δίκτυο κοινής χρήσης που έχει ως σκοπό τη παροχή Web browsing σε πελάτες αφήνεις οτιδήποτε άλλο πέραν της 80 και της 443.

Άσχετα με το παραπάνω, το να αφήνεις την 25 ανοιχτή είναι κυριολεκτικά πιπέρι.

Αν σώνει και καλά χρειάζεται να αφήσεις email port ανοιχτή, άσε αυτές που δε χρησιμοποιούνται απ όλα τα spam bots και σε διασφαλίζουν λίγο παραπάνω καθώς πλέον όλοι οι σοβαροί πάροχοι παίζουν με secure connectivity.

SMTP StartTLS: 587
SMTP SSL: 465

Όσο έχεις την 25 σε τέτοιο δίκτυο ανοιχτή, θα σε μπλοκάρουν και κάποια στιγμή απλά θα σε κόψουν τελείως.

[Kostello]

Θα δοκιμασω την λυση απο το λινκ που προτεινε ο hedgehog. μου φαινετε οτι μπορει να δουλεψει.
Οσο για τα υπολοιπα, λοιπον,

η τοπολογια εχει ως εξης.
4 adsl router καταληγουν σε εναν σερβερ που τρεχει το pfsense το οποιο διαχειριζεται τις συνδεσεις αυτες και λειτουργει ως firewall επισης.
μετα τον σερβερ ειναι ενα switch οπτικων ινων το οποιο μοιραζει στο καθε access point μεσω ενος rack σε καθε κτηριο.

αν μπλοκαρω την πορτα 25 πως θα στελνει Mail o πελατης?
Οι πελατες εχουν στις συσκευες τους και στα λαπτοπ τους ρυθμισμενα τα email των εταιριων τους και τα πρωσοπικα τους (gmail, web.de, yahoo, t-onile κλπ) και στελνοντας mail χρησιμοποιουν την συνδεση του ΟΤΕ. δεν χρησιμοποιουν τον smpt της otenet.
ουτε υπαρχει περιπτωση να εφαρμοσω πολιτικη που να υποχρεωνω τον πελατη αν θελει να στειλει Mail να αλλαζει ρυθμισεις κλπ...
απλα αυτοι οτι mail στελνουν το στελνουν μεσα απο γραμμη του ΟΤΕ. ναι μεν με τον smtp του εκαστοτε παροχου που χρησιμοποιει ή του εταιρικου του mail, αλλα ολο αυτο βγαινει απο την γραμμη του ΟΤΕ. γιαυτο βλεπει ο ΟΤΕ το traffic και μπλοκαρει την 25.
δεν ξερω αν μπορω να το αλλαξω αυτο και ποσο βολικο θα ηταν για τον πελατη,
αλλα πιστευω οτι μονο με εναν περιορισμο θα εκανα δουλεια.

Τι εννοεις φιλε μου να τους δωσω web access μονο? ο κοσμος εχει δουλειες,επιχειρησεις, συναλλαγες με τραπεζες, χιλια δυο, το email ειναι οτι πιο βασικο και must υπαρχει σημερα. θα ερχονται κατα εκατονταδες καθε μερα και θα μου λενε δε μπορω να στειλω mail. τι θα τους λεω? απαγορευετε? στην διευθυνση τι θα πω? οτι εκοψα το mail για λογους ασφαλειας? δεν γινετε αυτο....δε μπορεις να εχεις μονο web browsing σε ενα 5αστερο ξενοδοχειο που πληρωνει ο αλλος 150-250 ευρω την ημερα. δεν ειναι το ιντερνετ καφε της γειτονιας!

ο pts παραπανω εχει απολυτο δικιο.
το οριο που βαζει ο ΟΤΕ ειναι 100 παραλήπτες ανα λεπτο για καθε αποστολεα απο την ιδια Ip.
αν περασεις αυτο το οριο σου μπλοκαρει την 25.

[DSLaManiaC]

Περι web only το είπα θεωρητικά για να είσαι ασφαλής εσύ. Ποιος είπε ότι δε μπορεί να υπάρχει policy και να ενημερώνεται ο ενας στους χ πελάτες που ενδεχομένως να θέλει κάτι παραπάνω και να του δίνεται εξαίρεση? Όπως και να χει αυτό ήταν μια δική μου θεωρητική σκεψη.

Πρακτικά τώρα:

Δεν υπάρχει σοβαρός παροχος που να παίζει με την 25 πλεον. Όλοι παίζουν (συμπεριλαμβανομένων αυτών που ανέφερες) με TLS/SSL και authentication στις ports που ανέφερα πριν.

Οσο για γα mail, απ τους χ πελάτες πάντα θα σου κάθεται κάποιος με ιο που στέλνει σπαμ μέσω της 25.

Το TLS σήμερα δεν είναι η εξαίρεση αλλά ο κανόνας.

Την 25 την κόβεις ή θα μπαίνεις συνεχώς σε block.

Κανε ότι καταλαβαίνεις.

Sent from my Nexus 4 using Forum Runner

[Kostello]

Εφτιαξα ενα rule στο firewall που λεει


ALLOW protocol TCP source LAN source port ANY destination ANY destination port SMTP25 gateway WAN


Και μετα εχει advance options και του λες

maximum established connections per host (εδω εβαλα 20)

maximum new connection per host / per seconds (εδω εβαλα 80 / 60sec)

(Με την λογικη οτι ο ΟΤΕ σε μπλοκαρει οταν περασεις το οριο των 100 παραληπτες / λεπτο για καθε αποστολεα απο την ιδια IP)


Δεν ξερω αν πρεπει να το κανω για καθε Interface του pfsense ξεχωριστα γιατι εχω 4 γραμμες επανω.

Δηλαδη να βαλω σαν source την Ip του καθε interface….??

[sdikr]

Οι συνδέσεις είναι static ή dynamic
Γιατι ο ΟΤΕ δεν βάζει όριο εκεί (εκτός αν μπείς σε κάποιο spf)

[Kostello]

δυναμικες ειναι ολες και εχουν περιορισμο

[sdikr]

δυναμικες ειναι ολες και εχουν περιορισμο

1o βήμα σου θα πρέπει να είναι το να τις κάνεις static, ή τουλάχιστον μια και να κάνεις δρομολόγηση απο εκεί την πόρτα 25