Найдено 16 результатов
- 05 окт 2017, 18:14
- Форум: Общие вопросы
- Тема: dst-limit и защита от DoS
- Ответы: 20
- Просмотры: 14374
Re: dst-limit и защита от DoS
1. Для самого роутера я предпочитаю реализовывать куда более жёсткие правила. Приведённые выше - слегка защищают неопределённый сервис. Для критической инфраструктуры доступ должен быть только из доверенной зоны :) 2. Можно и так, я для большей ясности и компоновки однотипного рядом перед dst-limit...
- 13 сен 2017, 03:48
- Форум: Общие вопросы
- Тема: Тунели и с чем их едят ?
- Ответы: 2
- Просмотры: 2383
Re: Тунели и с чем их едят ?
Я на выделенном сервере запретил полностью использование GRE тунелей )))
- 02 сен 2017, 01:45
- Форум: Общие вопросы
- Тема: Тунели и с чем их едят ?
- Ответы: 2
- Просмотры: 2383
Тунели и с чем их едят ?
Здравствуйте друзья! Снова я да, но у же хочу обратиться к вам за помощью :D И так приступим : VPS1 (Router OS) IPv4 1.1.1.1 и VPS2 (Debian OS) IPv4 2.2.2.2 Надо провести тунель (НО НЕ GRE протокол!) с первой впс на вторую. NAT не катит - так как на втором сервере не видно реальных IP адресов посети...
- 21 авг 2017, 22:27
- Форум: Общие вопросы
- Тема: непонятные соединения а логе
- Ответы: 10
- Просмотры: 6051
Re: непонятные соединения а логе
Можно добавить некоторые правила на проверку еще. Не задумывался какую цепочку правил написать - но придумать точно можно что то )))
- 20 авг 2017, 18:40
- Форум: Общие вопросы
- Тема: непонятные соединения а логе
- Ответы: 10
- Просмотры: 6051
Re: непонятные соединения а логе
Просканировал я порт тестового сервера, боты которые сканируют порты отсылают пакеты c коротким TTL. TTL обычно не привышает 57. Я советую внести TTL<60 action = DROP Как видите на скриншоте = норм пользователь TTL = 110 , остальные все боты с помощью которых я просканировал порт сервера tcp 29000. ...
- 20 авг 2017, 18:34
- Форум: Общие вопросы
- Тема: непонятные соединения а логе
- Ответы: 10
- Просмотры: 6051
Re: непонятные соединения а логе
Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты у меня закрыты не только эти порты, а вообще всё нужные мне соединения вынесены выше этих запрещающих правил Ну если уж вам не хочется что бы ваши порты сканировали, то анализируйте пакет...
- 20 авг 2017, 18:31
- Форум: Форум по форуму =)
- Тема: Переезд сайта на другую машину
- Ответы: 3
- Просмотры: 7723
- 20 авг 2017, 18:16
- Форум: Общие вопросы
- Тема: непонятные соединения а логе
- Ответы: 10
- Просмотры: 6051
Re: непонятные соединения а логе
Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты. Для определенности - это правильная работа с FIREWALl.
- 19 авг 2017, 23:34
- Форум: Общие вопросы
- Тема: GEOIP и Блокировка стран
- Ответы: 0
- Просмотры: 25275
GEOIP и Блокировка стран
Здравствуйте, решил я добавить для вас тему по блокировки стран. Многие и не знаю как ей пользоваться. Модуля на GEOIP как многие уже в курсе - на самом деле нету. Но есть альтернативное решение. Mikrotik предоставили нам БД для IP диапазонов всех стран. Вносим все IP адреса в ЧС(черный список) Начн...
- 17 авг 2017, 22:42
- Форум: Общие вопросы
- Тема: Layer7 Protocol & regexp
- Ответы: 2
- Просмотры: 4533
Re: Layer7 Protocol & regexp
А какой именно регексп тестировался? Кажется, на офф. форуме были какие-то упоминания, что L7-фильтр как-то не очень хочет работать с нулевыми байтами (\x00). Видимо, в регекспе их не должно быть. Так что можно попробовать что-то вроде \x02\x75\x73.\x06\x77\x61\x6e\x6d\x65\x69 UPD: Ага, тут видно, ...
- 16 авг 2017, 19:24
- Форум: Общие вопросы
- Тема: Layer7 Protocol & regexp
- Ответы: 2
- Просмотры: 4533
Layer7 Protocol & regexp
Здравствуйте дорогие пользователи форума. Не так давно я задался вопросом, как же все таки сгенерировать regex для Layer7 protocol в Mikrotik. Нашел готовые решения http://l7-filter.sourceforge.net/protocols Но хотел создать свой, так и не смог разобраться. На ум мне пришло сграбить пакеты и провест...
- 12 авг 2017, 19:22
- Форум: Общие вопросы
- Тема: Защита http(s) web-сервера Apache2 от SYN/GET/POST флуда.
- Ответы: 5
- Просмотры: 10291
Re: Защита http(s) web-сервера Apache2 от SYN/GET/POST флуда.
Если установить роутером бесплатный CHR - то можно проверять на актуальной версии (например, 6.40.1 :) ) Там можно использовать RAW-таблицу в файрволе, чтобы ненужные пакеты не доходили до Connection Tracking и не грузили CPU - тоже простор для творчества Кстати вот спасибо за совет, а то есть тако...
- 09 авг 2017, 18:41
- Форум: Общие вопросы
- Тема: Защита http(s) web-сервера Apache2 от SYN/GET/POST флуда.
- Ответы: 5
- Просмотры: 10291
Защита http(s) web-сервера Apache2 от SYN/GET/POST флуда.
И так здравствуйте. Пользуясь CISCO ASA Firewall стало понятно что можно отфильтровать любой тип атаки, а главное анализировать трафик и пакеты. В Mikrotik все почти так же, но функциями он немного ограничен. Для примера я взял 2 выделенных IPv4, выделил 2 VPS сервера и выключил фильтрацию через Общ...
- 08 авг 2017, 03:08
- Форум: Общие вопросы
- Тема: dst-limit и защита от DoS
- Ответы: 20
- Просмотры: 14374
Re: dst-limit и защита от DoS
Есть подозрение , что TTL у ботов такой маленький потому, что они работают на Linux (default TTL = 63), а вы под "нормальным" понимаете Windows (default TTL = 128). В частности, под признак "TTL ниже 63" попадают мобильные телефоны (как минимум Андроиды и Айоси) Ну и порт вы явн...
- 05 авг 2017, 17:26
- Форум: Общие вопросы
- Тема: dst-limit и защита от DoS
- Ответы: 20
- Просмотры: 14374
Re: dst-limit и защита от DoS
Снова здравствуйте. Провел я несколько тестирований с сервера debian на котором стоял torshammer и GoldenEye L7, запускал атаки по apache2 который роутер защищал и понял то - что во время старта атаки, роутер не успевает обработать все запросы разом, и из-за сервера апач2 он все запросы видит такими...
- 03 авг 2017, 21:44
- Форум: Общие вопросы
- Тема: dst-limit и защита от DoS
- Ответы: 20
- Просмотры: 14374
Re: dst-limit и защита от DoS
Здравствуйте, хотел сообщить по поводу блокировок легитимных пользователей. Мучился я долго пришел к выводу. Есть другой способ, а есть этот же "Первый". в dst-limit надо прописывать dst-limit=32,32 как раз для apache2 сервера. В гайде Chupaka идет DROP адресов не соответствующих dst-limit...