Регистрация...

Eserv Forum / E3 / Eserv 3 Mail Server Support / IDS в Eserv3

recent wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Проясните кто-нибудь про настройки IDS в Eserv3

В ini есть строчки
IpStatPeriod=1000
IpAllowedCnt=10
IpBlockPeriods=5
UseFirewallBlocks=0

И они-же соответственно в WEB-управлении. Но БЕЗ хелпов.

На http://www.eserv.ru информации на эту тему не нашел.

Причина любознательности — периодическое блокирование POP3. Т.е. в acIMAP.log начинает бесконечно писаться типа...
Wed, 05 Jun 2013 08:48:43 +0800 MaxThreads reached (server)!
Новые клиенты к серверу по pop3 подключаются и дальше ничего не происходит.
Проц в этот момент ничем особо не загружен. Антивируса на сервере никакого нет в принципе. Отправка почты фунциклирует исправно.
Для SMTP в настройках есть опционал типа MaxConnections и MaxConnectionsFromIP а для POP3-сессий такого нет.
Лечится перезапуском сервисов вручную (не очень удобно), поскольку система не замечает — что это ошибка.
 
Комментарии к этой версии (05.06.2013 07:00) [~pavlad] f5274028
АвторДатаТекстtags
ac05.06.2013 08:56
MaxThreads не связано с IDS.

В acIMAP\conf\OnStartup.rules.txt можно подкрутить (или добавить, если нет) директиву
MaxThreads: 1000 \ максимальное число потоков в пуле, включая усыпленные - ожидающие заданий или в/в
wikipost
ac05.06.2013 08:59
А про IDS здесь: http://www.eserv.ru/EservIDS Свои (локальные) IP он не блокирует. И вообще plugin можно отключить, если где-то подозрения на него.
wikipost
pavlad05.06.2013 09:34
ac пишет: В acIMAP\conf\OnStartup.rules.txt можно подкрутить (или добавить, если нет) директиву

А поподробнее, в какое конкретно место? Номер строки там или после какого из плагинов?
wikipost
pavlad05.06.2013 09:55
ac пишет: А про IDS здесь: http://www.eserv.ru/EservIDS
на этой странице присутствует только общая для интернета информация, что ..."IDS — система обнаружения и блокировки сетевых атак". А я спросил про "что означают" четыре магических строчки, раз уж в дитрибутиве к Eserv не оказалось встроенных комментариев к этому опционалу.
wikipost
ac05.06.2013 15:16
CommonPlugins\plugins\firewall\ids.f :
1000 VALUE vIpStatPeriod \ интервал (окно) замера в ms 30 VALUE vIpAllowedCnt \ разрешенное к-во подключений за этот период с одного IP 5 VALUE vIpBlockPeriods \ на сколько периодов блокировать 0 VALUE vUseFirewall \ блокировать ли IP через FireWall (200x,XP)


CommonPlugins\plugins\firewall\readme.txt пишет: 12.03.2004

Добавлена возможность обнаружения DoS-атак — замер частоты обращений к сервису по каждому IP. При превышении порога допустимой активности какого-то IP он блокируется на заданное время (все поступающие от него коннекты сразу закрываются без обработки, он при попытке продолжения работы будет получать ошибку 10054 "разрыв связи").

Если UseFirewallBlocks=1, то защита от атакующего IP усиливается: этот IP блокируется через FireWall. Сервер становится "невидимым" для этого атакующего, он будет получать ошибки 10060 "таймаут" при попытке соединиться с сервером. Сам Eserv даже не будет знать, что с этого IP продолжается атака, т.к. трафик с него блокируется в FireWall на более низком уровне.


Но менять там ничего не надо, легко навредить, и к вопросу про MaxThreads это не имеет отношения.
wikipost
pig05.06.2013 20:23
ac пишет: В acIMAP\conf\OnStartup.rules.txt можно подкрутить (или добавить, если нет) директиву

pavlad пишет: А поподробнее, в какое конкретно место? Номер строки там или после какого из плагинов?

В самое начало.
wikipost
Работает на Eserv/5.05555 (05.06.2016)