<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div><div><div><blockquote type="CITE">
В стандартном файрволе такой фичи нет (во всяком случае насколько мне известно).<br>
Есть расширение к iptables которое называется ip_conn_track, но в ядро оно не включено и поскольку на одном из моих серверов использование этого расширения привело к panic ядра, я его использовать теперь опасаюсь.<br>
</blockquote></div></div>
Какие-то вы странные вещи рассказываете. Или у вас очень древняя система.<br>
man iptables(дальше поиск по connlimit) Это модуль уже давно в стандартной поставке ядра.</div></blockquote><div> </div><div>Древняя в том-то и дело: Fedora5 :( <br>И connlimit как раз не работает - нет такого модуля в дефолтной поставке ядра<br>
<br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><br>
<br>
Можно и в exim'е это ограничить, причем с любой степенью извращенности, директивой smtp_accept_max_per_host. Она expand'ится до рождения потомка на обработку сообщения... Хоть динамические черные списки по фазам луны делайте.
</div></blockquote><div><br>Угу, угу, smtp_max_per_host стоит в 1. При этом netstat показывает попытку открыть 5 и более коннектов с одного IP. Да, exim разумеется коннект не допустит и соединение закроет, только вот всё это занимает время (несколько секунд на отпинывание одного коннекта). В итоге просто забиваются все доступные коннекты и начинается отпинывание уже хороших хостов, потому что превышено максимальное количество коннектов. Димнамические фильтры есть - не спасает при таком объёме спамеров.<br>
<br>Пошёл уже чистый оффтоп, если интересны подробности - можете в личку.<br></div></div>