Страница 1 из 1

непонятные соединения а логе

Добавлено: 04 июн 2017, 14:56
bear
имеется RB2011UiAS-2HnD-IN
настроен VPN сервер через PPTP и L2TP/IPSec

периодически вижу в логах такую картину:

Изображение

данные IP не соотвествуют ни одному из акаунтов, которым разрешено подключение к VPN

скажите пожалуйста, что это за подключения? имеет смысл беспокоиться по этому поводу?

Re: непонятные соединения а логе

Добавлено: 05 июн 2017, 09:53
Chupaka
Обычное сканирование портов по всему Интернету. Удивляться не надо.

Re: непонятные соединения а логе

Добавлено: 05 июн 2017, 14:47
bear
Chupaka писал(а): 05 июн 2017, 09:53 Обычное сканирование портов по всему Интернету. Удивляться не надо.
спасибо
а то я уже включил режим паранойи :-)

Re: непонятные соединения а логе

Добавлено: 20 авг 2017, 18:16
promychev
Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты. Для определенности - это правильная работа с FIREWALl.

Re: непонятные соединения а логе

Добавлено: 20 авг 2017, 18:30
bear
promychev писал(а): 20 авг 2017, 18:16 Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты
у меня закрыты не только эти порты, а вообще всё
нужные мне соединения вынесены выше этих запрещающих правил

Re: непонятные соединения а логе

Добавлено: 20 авг 2017, 18:34
promychev
bear писал(а): 20 авг 2017, 18:30
promychev писал(а): 20 авг 2017, 18:16 Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты
у меня закрыты не только эти порты, а вообще всё
нужные мне соединения вынесены выше этих запрещающих правил
Ну если уж вам не хочется что бы ваши порты сканировали, то анализируйте пакеты при сканировании портов, и внесите на них правила. Могу помочь если хотите.

Re: непонятные соединения а логе

Добавлено: 20 авг 2017, 18:40
promychev
Просканировал я порт тестового сервера, боты которые сканируют порты отсылают пакеты c коротким TTL. TTL обычно не привышает 57.
Я советую внести TTL<60 action = DROP
Как видите на скриншоте = норм пользователь TTL = 110 , остальные все боты с помощью которых я просканировал порт сервера tcp 29000.
Скрин :
http://joxi.ru/DmB0GXPUNgJ5MA.png

Re: непонятные соединения а логе

Добавлено: 20 авг 2017, 20:05
bear
promychev писал(а): 20 авг 2017, 18:40 советую внести TTL<60 action = DROP
спасибо, попробую этот способ

Re: непонятные соединения а логе

Добавлено: 20 авг 2017, 20:05
Chupaka
promychev писал(а): 20 авг 2017, 18:40 Я советую внести TTL<60 action = DROP
После этого не будет доступа с мобильных телефонов и других Линуксов :)

Re: непонятные соединения а логе

Добавлено: 20 авг 2017, 20:06
bear
значит не попробую :-)

Re: непонятные соединения а логе

Добавлено: 21 авг 2017, 22:27
promychev
Chupaka писал(а): 20 авг 2017, 20:05
promychev писал(а): 20 авг 2017, 18:40 Я советую внести TTL<60 action = DROP
После этого не будет доступа с мобильных телефонов и других Линуксов :)
Можно добавить некоторые правила на проверку еще. Не задумывался какую цепочку правил написать - но придумать точно можно что то )))