Блокиране на порт след определени опити?

[BO]

Колеги, натъкнах се на проблем с 25-ти порт от вируси.

Въпроса ми е как да го блокирам след определен брой опити.

Примерно ако вътрешна мрежа 192.168.0.0/24 през out интерфейс WAN към дестинейшън порт 25 да речем в рамките на 1 минута ако има над 5 заявки да дропи, ама точно определеното ИП, което е заразено.

Нещо от рода на:

add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 out-interface=WAN action=drop

Ама ако конкретно ИП се пробва над 5 пъти в рамките на 1 минута.

Какво трябва да добавя още към горното правило?

Също пробвах нещо като това правило - http://mikrotik-bg.net/YaBB.pl?num=1233514055

ама не се получава. В този случай още от 1-вия опит не минава на стеджове, а директно всеки стейдж си отчита по 1 пакет и директно блоква при първия опит

Това с цел хем да работи и да може да си изпратиш към външен СМТП сървър, хем ако бълнеш от някакъв вирус и да те блокне.

Благодаря ви предварително.

[Тодор Лазаров]

Ето ти едно решение:

http://wiki.mikrotik.com/wiki/How_to_autodetect_infected_or_spammer_users_and_temporary_block_the_SMTP_output

[BO]

Ето ти едно решение:

http://wiki.mikrotik.com/wiki/How_to_autodetect_infected_or_spammer_users_and_temporary_block_the_SMTP_output

Мерси за отговора!

Пробвах това, ама не логва нито един пакет, за да вкара адреса в адрес листата:

add chain=forward protocol=tcp dst-port=25 out-interface=WAN connection-limit=2,32 limit=5,2 action=add-src-to-address-list

address-list=spammer address-list-timeout=7d

Тук само не знам как да обознача, че направих "limit=5,2" да не е лимита 5 на секунда а през уинбокса го направих 5 на минута. Въпреки това пак не хвана адреса, през който изпратих писмата...

Теста ми беше да изпратя 14 писма за 10 секунди към външен сървър.

Странното е, че ми логва мейл сървъра. Вижда се, че самото правило работи, щом вкарва сървъра в листата. Явно не е толкова чувствително ли или и аз не знам...