Здравствуйте!
Возникла необходимость закрыть исходящие соединения, дабы не воровали трафик через wget, тоесть есть локальный трафик, а есть зарубежный. Качать могут шеллом через сервер, а потом выкачивать уже по локальному трафику на компьютер. Или еще как-то кроме wget можно своровать трафик?
Каким образом это сделать? И еще, как ограничить размер входящих писем, чтобы не высылали файлы огроменные из внешнего И-нета себе на ящики.

Буду благодарен за ответы

Первое - через файр, второе - настройками MTA

А доходчивее объяснить, пожалуйста, можете?

В интернете достаточно документации по настройке файрвола,
только вы даже не назвали какая у вас ОС.

Можно, конечно так....

1)
# chmod 700 /usr/local/bin/wget
# chmod 700 /usr/local/bin/lynx
# chmod 700 /usr/bin/fetch
# chmod 700 /usr/local/bin/GET

+ чем там еще можно выкачать....

2) PHP

allow_url_fopen = Off
allow_url_include = Off
+ запретить открытие сокетов, использование CURL, команды для работы с FTP

А там еще и Perl, Python...


А можно закрыть исходящие соединения на чужие ИПы на порты 80, 8000, 8080, 20-21, что-то-там-еще

Рабочее решение - только средствами файервола. Если шелл/скрипты работают
под отдельными пользователями, конечно. Iptables умеет научиться различать
пакеты для разных uid/gid - можно настроить аудит трафика. В OpenBSD
есть аналогичные вещи.

Если скрипты работают под общим пользователем - нужно ходить с паяльником
и периодически отлавливать нарушителей ;-)

Все зависит от структуры хостинговой площадки.
Закрыть исходящие - средствами файрволла.
Правда при этом рискуем нарушить работу клиентских сайтов
- баннеры, счетчики, картинки, новости могут подгружаться с других серверов инета.
И бороться с выравнивателями траффика трудно.
wget - один из множества вариантов.
Если есть шелл - в то общем случае никак.
Тем более если у Вашего клиента, есть еще шелл где-нить за бугром,
где трафф/соотношение не считается, то совсем беда:
(к примеру с забугорной тачки на ваш хостинг)

scp big_file login@hosting_ip:/dev/null
cat big_file | ssh login@hosting_ip "cat > /dev/null"

+ куча всяких других вариантов, в т.ч. и
скриптами сайта (многократная передача методом post больших кусков).

Сейчас выгоднее купить дешевенький хостинг/шелл за бугром именно для таких целей,
нежели рисковать попасть на бабло по трафику у российских хостеров.
И таких "умельцев" заблокировать/отловить тяжело.

Кста-ти, если напрягает зарубежный траффик - можно просто
обрезать все "забугорье" файрволлом, оставив только к примеру поисковики.
Списки сетей рунета - найти в инете (при этом списки регулярно обновляются - надо будет отслеживать).

Клиенты, боюсь, не оценят обрезанного забугра.

Зачем такие примудрости? Берете mod_cband и будет Вам счастье. Трафик считает и блокирует по заданным лимитам

Но если проанализаровать предпосылки топикстартера,
то станет видно, что ему именнго забугор не нравиться.
Прям уж взять и закрыть все исходящие, чтоб из забурга не качали.
А рунет? Проще уж тогда просто весь "забугор" отрезать - оставив нужные сервисы.

Либо я чего-то непонимаю