ip_tables Frage

[mikt]

Hallo,

ich möchte gerne einen kleinen Spammer droppen oder noch besser ihm direkt seine Pakete zurück schicken.

Allerdings werden zuerst meine PREROUTING Nat Tabelen abgearbeitet bevor er sich an den 'filter' macht.

Wer hilft mir uns sagt mir wie ich eine bestimmte Source Adresse vom PREROUTING bzw NAT ausschließe, mit Drop ist sie weg und ich bin den Spammer los, aber vielleicht braucht er seine Pakete ja noch alle.

Und warum geht nat vor filter?

[Dorijan]

mit sowas würd ich sehr vorsichtig sein.

überleg mal der kleine spammer nutzt einen firmenserver der nicht sicher ist und du jagst dahin die pakete zurück.

einfach nullrouten.

[mikt]

Der 'kleine' Spammer sitzt in Taiwan am fettesten Spam /16 das ich kenne.

Und was meinst nu mit 'nicht sicher ist'?

[Dorijan]

z.B. irgend nen 1&1 server der als proxy für sowas benutzt wird ohne das dem admin von dem ding das bekannt ist.

nun hauste den spam zurück erzeugst traffic und das ganze geht seinen weg, überhöhte rechnung -> anzeige etc

muss nicht sein , kann aber.

und ich glaub dem spammer ist das relativ egal ob da was zurück kommt.

[mikt]

z.B. irgend nen 1&1 server der als proxy für sowas benutzt wird ohne das dem admin von dem ding das bekannt ist.

Ja, sorry, schade für den Admin -> Gelbe Seiten.

nun hauste den spam zurück erzeugst traffic und das ganze geht seinen weg, überhöhte rechnung -> anzeige etc

Da ich seine Pakete nicht benötige und nicht annehmen schicke ich die zurück, ganz normal.
Wer soll da wen anzeigen?
Der Taiwanesische Spammer mich? Na da käme dann Freude auf!

und ich glaub dem spammer ist das relativ egal ob da was zurück kommt.

Nö, das glaube ich nicht, da die alle fein wieder auf seinem Server aufschlagen. Vielleicht gibt das zu denken.

[drech]

wie ich eine bestimmte Source Adresse vom PREROUTING bzw NAT ausschließe

Du könntest doch die rule ändern und die Quellangabe um das negierte netz des spammers erweitern?! Also -s ! ip.of.the.evil.spammer/16

Bin mir aber nicht sicher, nur so ne Idee :)

[mikt]

Ja, aber ich möchte eigentlich dass die Source an meinen 'Filter' durchgereicht wird, das bringe ich nicht hin. Beim 'nat' kann ich die Source auf zu Drop stellen oder halt zum spammer naten. Das geht.
Ich würde aber gerne die Möglichkeiten des 'filter' nutzen, zB ICMP Antworten 'ich mag dich nicht mehr' :)

[drech]

zB ICMP Antworten 'ich mag dich nicht mehr' :)

:)

Neue chain:
iptables -N SPAM

Neue rule für spammer zum PREROUTING:
iptables -A PREROUTING -s evil.spammer/16 -j SPAM

Und dann in SPAM die Behandlung für den Spammer stecken. So sollte das doch gehen? Hab ich zumindest mit INPUT/OUTPUT/FORWARD so gemacht. Müsste dann eigentlich direkt vom PREROUTING zu SPAM gehen, wie du's haben willst. Oder? ;)

[mikt]

hört sich logisch an :)
Danke