<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div></div><div>Perhaps use iptables and fail2ban...</div><div><br></div><div>Similar to</div><div><a href="https://github.com/Zimbra-Community/mailing-lists/wiki/DDOS-protection">https://github.com/Zimbra-Community/mailing-lists/wiki/DDOS-protection</a></div><div><br></div><div>Why not use zimbra dosfilter?</div><div><br></div><div>Barry</div><div><br>On 22 Dec 2017, at 09:33, Omar Mochtar <<a href="mailto:iomarmochtar@gmail.com">iomarmochtar@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="auto"><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Yes, HAProxy is in front of zimbra MTA & proxy server, since it's a load balancer. </div><div dir="auto"><br></div><div dir="auto">What i found in HAproxy log file is just information of source & destinated server and it's very verbose because used in quite high client traffic so i cannot trace what source IP is (try) using X account just like in normal nginx.log without haproxy.</div><div dir="auto"><br></div><div dir="auto"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Dec 22, 2017 15:13, "Barry de Graaff" <<a href="mailto:info@barrydegraaff.tk">info@barrydegraaff.tk</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div></div><div>Hello Omar,</div><div><br></div><div>I dunno, but isn’t easier to just put haproxy in front of zimbra proxy and block all from there?</div><div><br></div><div>Barry</div><div><br>On 22 Dec 2017, at 08:47, Omar Mochtar <<a href="mailto:iomarmochtar@gmail.com" target="_blank">iomarmochtar@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div><div>Hi All, <br><br></div><div><br></div><div><br></div>Here's the background of the issue: I implemented HAProxy as Load Balancer for Zimbra MTA & Proxy (webmail, pop3, imap) services and it's running smoothly until we have brute force issue then when i want to block the source of brute force IP but it just shown HAProxy server's IP in the log files since the traffics are come from it. <br></div><div><br></div><div><br></div><div>After searching the solution is using HAProxy's Proxy Protocol that will add additional source information in package that will be forwarded to it's backend servers. For Postfix there is clear documentation in HaProxy's official blog (<a href="https://www.haproxy.com/blog/efficient-smtp-relay-infrastructure-with-postfix-and-load-balancers/" target="_blank">https://www.haproxy.com/blog/<wbr>efficient-smtp-relay-<wbr>infrastructure-with-postfix-<wbr>and-load-balancers/</a>) and for the rest service (webmail, pop3, imap) which handled with Nginx the clue is only this documentation <a href="http://nginx.org/en/docs/stream/ngx_stream_proxy_module.html#proxy_protocol" target="_blank">http://nginx.org/en/docs/<wbr>stream/ngx_stream_proxy_<wbr>module.html#proxy_protocol</a> . <br></div><div><br></div><div><br></div><div>Unfortunately nginx's proxy_protocol configuration  is available from version 1.9.2 and Nginx version in Zimbra 8.7 is 1.7.1 .</div><div><br></div><div>The question is how to recompiling new version of Nginx (including it's zmlookup modules, etc)  that will be replaced the existing one ?<br></div></div></div>
</div></blockquote></div></blockquote></div></div>
</div></blockquote></body></html>