Drop port scanners
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
Так как есть открытые порты, то не хочется, чтобы зловреды занимались подбором паролей на сервере...
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
На сколько я понимаю, зловреды сначала сканируют все порты, а уже после того как определяют какие порты "отвечают", начинают атаки на эти открытые порты...
Поэтому я подумал, что если дать отбой сканерам портов, то снизиться вероятность взлома RDP, да и нагрузка на сам сервер, как то так
Поэтому я подумал, что если дать отбой сканерам портов, то снизиться вероятность взлома RDP, да и нагрузка на сам сервер, как то так
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Drop port scanners
Проще всё же непосредственно закрыть порт каким-нибудь PortKnocking'ом.
Также PSD можно реализовать непосредственно в правилах NAT, которые будут сканеры заносить в Address-List, затем ниже делать Accept для сканеров - и уже потом пробрасывать порты для более легитимных пользователей, например.
Также PSD можно реализовать непосредственно в правилах NAT, которые будут сканеры заносить в Address-List, затем ниже делать Accept для сканеров - и уже потом пробрасывать порты для более легитимных пользователей, например.
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
такое правило ?
chain=dstnat action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=block_rdp address-list-timeout=10m in-interface=interne>
dst-port="" log=no log-prefix=""
это не понял, зачем Accept для сканеров ?затем ниже делать Accept для сканеров
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Drop port scanners
Да, типа такого.
Accept для того, чтобы прервать обработку правил dstnat. Альтернатива — в каждом правиле проброса дописать src-address-list=!block_rdp. При большом количестве пробросов неудобно и путь к дальнейшей путанице
Accept для того, чтобы прервать обработку правил dstnat. Альтернатива — в каждом правиле проброса дописать src-address-list=!block_rdp. При большом количестве пробросов неудобно и путь к дальнейшей путанице
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
а чем плохо использовать использовать Src.Address List ?
по моему вполне наглядно
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Drop port scanners
Да, именно такого я стараюсь избегать без надобности =)
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
Вы рекомендуете в NAT делать только "проброс порта", а уже в Filter Rules обрабатывать (фильтровать) так ?
а чем кроме красивости/наглядности в NAT этот прием лучше?
а чем кроме красивости/наглядности в NAT этот прием лучше?
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Drop port scanners
Просто красивость/наглядность. Которая потом не даст повода где-нибудь недосмотреть и ошибиться.
Про рекомендации не совсем понял... Я рекомендую "пробрасывать" только легитимные источники, а block_rdp не пробрасывать, чтобы они приземлились в input, а не forward. Где их и заблокировать окончательно, например.
Про рекомендации не совсем понял... Я рекомендую "пробрасывать" только легитимные источники, а block_rdp не пробрасывать, чтобы они приземлились в input, а не forward. Где их и заблокировать окончательно, например.
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
Что-то я запутался, подскажите, плиз, а как из forward переделать в input ?
а можете поделиться как вы делаете проброс порта с блокировкой "левых" ?
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Drop port scanners
Не переделать, а оставить. Нет DST-NAT - пакет уйдёт в input.
Никак, у меня такой необходимости нет. Я лишь говорю, что добавить accept-правило в NAT для block_rdp - и из всех правил можно убрать этот параметр, что сделает конфиг чище. Чем меньше дополнительных параметров - тем сложнее запутаться в них
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
так ?
в самом начале списка NAT
chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
в самом начале списка NAT
chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Drop port scanners
Да я бы уже все протоколы accept'ил от этих злодеев. Зачем только tcp?
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
а в Filter Rules, в самый верх добавить
chain=input action=drop protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
chain=input action=drop protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
итого в NAT добавить эти правила, первое будет пакеты от "block_rdp" отправлять в input Filter Rules для дальнейшей блокировки, а второе будет заносить адреса в "block_rdp" тех кто будет подпадать под PSD
chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
chain=dstnat action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=block_rdp address-list-timeout=10m in-interface=interne>
dst-port="" log=no log-prefix=""
chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
chain=dstnat action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=block_rdp address-list-timeout=10m in-interface=interne>
dst-port="" log=no log-prefix=""
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Drop port scanners
Ну, строго говоря, оно не будет отправлять, пакеты сами туда попадут, т.к. идут на адрес роутера - и их никто не перенаправляет.
Ну и я бы правила NAT добавил в обратном порядке, чтобы если второе правило "нашло" хулигана - первое бы тут же сработало на него, не дожидаясь следующего соединения.
Ну и я бы правила NAT добавил в обратном порядке, чтобы если второе правило "нашло" хулигана - первое бы тут же сработало на него, не дожидаясь следующего соединения.
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
Спасибо!
-
- Сообщения: 128
- Зарегистрирован: 10 фев 2017, 08:52
Re: Drop port scanners
я тут подумал
насчет порядка правил... если Accept будет вторым правилом (как предлагаете вы), и если хулиган будет сканировать, то первое правило всегда будет в работе и занимать ресурсы роутера (или не обращать на это внимание?)..
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Drop port scanners
Если PSD будет занимать хоть сколь-нибудь значительное количество ресурсов - есть мнение, что тогда непосредственно само сканирование будет наименьшим из имеющихся зол