Ограничение подключений и прочее...

Я не могу привести примеры, но могу дать тебе общее представление о том, как бы я попытался это реализовать, и ты можешь поэкспериментировать. Чтобы ограничить скорость исходящих SMTP-соединений на порту 25, создай правило mangle, которое отслеживает SYN-пакеты, отправляемые на порт 25. Затем создай очередь, которая ограничивает количество таких пакетов, происходящих в течение выбранного тобой периода времени. Скорее всего, тебе понадобится, чтобы эта очередь основывалась на IP-адресе источника, чтобы ограничение применялось к каждому клиенту, а не ко всей твоей сети. Блокирование попыток эксплуатации внешних веб-серверов с использованием команды CONNECT – это что-то похожее. Создай набор правил mangle, которые проверяют исходящий трафик на порт 80 на наличие последовательности символов CONNECT, HTTP/1. и, возможно, других частей пакета. Свяжи их так, чтобы последующие правила сопоставлялись только в том случае, если предыдущие правила пометили поток пакетов особым образом – так ты можешь быть уверен, что на самом деле смотришь на заголовок HTTP-команды, который является командой CONNECT. Затем просто добавь правило брандмауэра, которое отбрасывает любой пакет, соответствующий потоку, указанному в конечном правиле mangle в последовательности. Ту же идею можно использовать для блокировки других видов трафика. Можно, вероятно, искать последовательность HELO, RCPT TO: для SMTP-команд и блокировать их тоже. Однако у этого метода есть свои проблемы: правила mangle не позволяют использовать шаблоны regex, насколько я понимаю, поэтому ты можешь заблокировать CONNECT, а более умный спамер все равно будет тебя эксплуатировать, потому что он использует программное обеспечение, которое отправляет CoNnEcT. Также проверка данных против каждого пакета, покидающего твой роутер, будет потреблять дополнительное время процессора, поэтому постарайся расположить правила mangle так, чтобы сначала проверялась наименее вероятная последовательность символов. Многие пакеты будут содержать HTTP/1., но немногие будут содержать CONNECT, поэтому сначала проверяй наличие CONNECT, и тогда другие правила будут пропущены, потому что поток не помечен, когда придет их очередь тестировать пакет. Да, вероятно, есть лучшие способы сделать это, но я собрал это на скорую руку однажды, и это, казалось, работало.