[ext] Hook nach reject

[Bjoern Buerger]

On 16.10.23 10:09, Achim Lammerts via Postfixbuch-users wrote:
> Ich habe seit einiger Zeit täglich eine Flut an AUTH requests und bin 
> schon dazu übergegangen, ganze ASNs nach null zu routen, um das 
> einzudämmen.

Ich habe mich auch schon gefragt, was dafür eine schöne
Lösung wäre. fail2ban erscheint mir mittlerweise zu
ungepflegt. Seit wir mit dem fail2ban ipv6 Support
massive Probleme hatten, habe ich das überall rausgenommen,
aber seither noch keine schöne Alternative gefunden.

Die Zugriffe kommen in kurzen, schnellen, Salven
und dann wird die IP gewechselt. Ich nullroute den
Kram momentan vorallem, um etwas mehr Ruhe in die
Logs zu bekommen. Die ca. 6k IPs der letzten
Wochen kommen fast ausschließlich aus .cn und sobald die
Reaktionszeit über 3 Sekunden geht, nimmt der Nutzen
Rapide ab.

Dummerweise können wir nicht einfach pauschal die kompletten
Subnetze / ASe nullrouten, weil wir Produktiontraffic aus der
selben Richtung haben. Das ist mir zu heiss.

> Eine bessere Lösung wäre, AUTH nur per Whitelisting für bestimmte 
> Clients anzubieten. Bekommt man das hin?
> Welche Strategie könnte man sonst noch verfolgen?

"Sowas wie fail2ban in modern" wäre eigentlich ideal

LG,
Bjørn