непонятные соединения а логе

Базовая функциональность RouterOS
Аватара пользователя
bear
Сообщения: 109
Зарегистрирован: 03 мар 2016, 18:39

непонятные соединения а логе

Сообщение bear » 04 июн 2017, 14:56

имеется RB2011UiAS-2HnD-IN
настроен VPN сервер через PPTP и L2TP/IPSec

периодически вижу в логах такую картину:

Изображение

данные IP не соотвествуют ни одному из акаунтов, которым разрешено подключение к VPN

скажите пожалуйста, что это за подключения? имеет смысл беспокоиться по этому поводу?

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: непонятные соединения а логе

Сообщение Chupaka » 05 июн 2017, 09:53

Обычное сканирование портов по всему Интернету. Удивляться не надо.

Аватара пользователя
bear
Сообщения: 109
Зарегистрирован: 03 мар 2016, 18:39

Re: непонятные соединения а логе

Сообщение bear » 05 июн 2017, 14:47

Chupaka писал(а):
05 июн 2017, 09:53
Обычное сканирование портов по всему Интернету. Удивляться не надо.
спасибо
а то я уже включил режим паранойи :-)

Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden
Контактная информация:

Re: непонятные соединения а логе

Сообщение promychev » 20 авг 2017, 18:16

Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты. Для определенности - это правильная работа с FIREWALl.
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак

Аватара пользователя
bear
Сообщения: 109
Зарегистрирован: 03 мар 2016, 18:39

Re: непонятные соединения а логе

Сообщение bear » 20 авг 2017, 18:30

promychev писал(а):
20 авг 2017, 18:16
Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты
у меня закрыты не только эти порты, а вообще всё
нужные мне соединения вынесены выше этих запрещающих правил

Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden
Контактная информация:

Re: непонятные соединения а логе

Сообщение promychev » 20 авг 2017, 18:34

bear писал(а):
20 авг 2017, 18:30
promychev писал(а):
20 авг 2017, 18:16
Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты
у меня закрыты не только эти порты, а вообще всё
нужные мне соединения вынесены выше этих запрещающих правил
Ну если уж вам не хочется что бы ваши порты сканировали, то анализируйте пакеты при сканировании портов, и внесите на них правила. Могу помочь если хотите.
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак

Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden
Контактная информация:

Re: непонятные соединения а логе

Сообщение promychev » 20 авг 2017, 18:40

Просканировал я порт тестового сервера, боты которые сканируют порты отсылают пакеты c коротким TTL. TTL обычно не привышает 57.
Я советую внести TTL<60 action = DROP
Как видите на скриншоте = норм пользователь TTL = 110 , остальные все боты с помощью которых я просканировал порт сервера tcp 29000.
Скрин :
http://joxi.ru/DmB0GXPUNgJ5MA.png
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак

Аватара пользователя
bear
Сообщения: 109
Зарегистрирован: 03 мар 2016, 18:39

Re: непонятные соединения а логе

Сообщение bear » 20 авг 2017, 20:05

promychev писал(а):
20 авг 2017, 18:40
советую внести TTL<60 action = DROP
спасибо, попробую этот способ

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: непонятные соединения а логе

Сообщение Chupaka » 20 авг 2017, 20:05

promychev писал(а):
20 авг 2017, 18:40
Я советую внести TTL<60 action = DROP
После этого не будет доступа с мобильных телефонов и других Линуксов :)

Аватара пользователя
bear
Сообщения: 109
Зарегистрирован: 03 мар 2016, 18:39

Re: непонятные соединения а логе

Сообщение bear » 20 авг 2017, 20:06

значит не попробую :-)

Ответить