непонятные соединения а логе

Базовая функциональность RouterOS
Аватара пользователя
bear
Сообщения: 167
Зарегистрирован: 03 мар 2016, 18:39

непонятные соединения а логе

Сообщение bear »

имеется RB2011UiAS-2HnD-IN
настроен VPN сервер через PPTP и L2TP/IPSec

периодически вижу в логах такую картину:

Изображение

данные IP не соотвествуют ни одному из акаунтов, которым разрешено подключение к VPN

скажите пожалуйста, что это за подключения? имеет смысл беспокоиться по этому поводу?
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: непонятные соединения а логе

Сообщение Chupaka »

Обычное сканирование портов по всему Интернету. Удивляться не надо.
Аватара пользователя
bear
Сообщения: 167
Зарегистрирован: 03 мар 2016, 18:39

Re: непонятные соединения а логе

Сообщение bear »

Chupaka писал(а): 05 июн 2017, 09:53 Обычное сканирование портов по всему Интернету. Удивляться не надо.
спасибо
а то я уже включил режим паранойи :-)
Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden

Re: непонятные соединения а логе

Сообщение promychev »

Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты. Для определенности - это правильная работа с FIREWALl.
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак
Аватара пользователя
bear
Сообщения: 167
Зарегистрирован: 03 мар 2016, 18:39

Re: непонятные соединения а логе

Сообщение bear »

promychev писал(а): 20 авг 2017, 18:16 Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты
у меня закрыты не только эти порты, а вообще всё
нужные мне соединения вынесены выше этих запрещающих правил
Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden

Re: непонятные соединения а логе

Сообщение promychev »

bear писал(а): 20 авг 2017, 18:30
promychev писал(а): 20 авг 2017, 18:16 Для профилактики лучше закрыть TCP и UDP порты для входящих соединений, а дальше уже открывать нужные вам порты
у меня закрыты не только эти порты, а вообще всё
нужные мне соединения вынесены выше этих запрещающих правил
Ну если уж вам не хочется что бы ваши порты сканировали, то анализируйте пакеты при сканировании портов, и внесите на них правила. Могу помочь если хотите.
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак
Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden

Re: непонятные соединения а логе

Сообщение promychev »

Просканировал я порт тестового сервера, боты которые сканируют порты отсылают пакеты c коротким TTL. TTL обычно не привышает 57.
Я советую внести TTL<60 action = DROP
Как видите на скриншоте = норм пользователь TTL = 110 , остальные все боты с помощью которых я просканировал порт сервера tcp 29000.
Скрин :
http://joxi.ru/DmB0GXPUNgJ5MA.png
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак
Аватара пользователя
bear
Сообщения: 167
Зарегистрирован: 03 мар 2016, 18:39

Re: непонятные соединения а логе

Сообщение bear »

promychev писал(а): 20 авг 2017, 18:40 советую внести TTL<60 action = DROP
спасибо, попробую этот способ
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: непонятные соединения а логе

Сообщение Chupaka »

promychev писал(а): 20 авг 2017, 18:40 Я советую внести TTL<60 action = DROP
После этого не будет доступа с мобильных телефонов и других Линуксов :)
Аватара пользователя
bear
Сообщения: 167
Зарегистрирован: 03 мар 2016, 18:39

Re: непонятные соединения а логе

Сообщение bear »

значит не попробую :-)
Аватара пользователя
promychev
Сообщения: 16
Зарегистрирован: 03 авг 2017, 21:36
Откуда: Sweden

Re: непонятные соединения а логе

Сообщение promychev »

Chupaka писал(а): 20 авг 2017, 20:05
promychev писал(а): 20 авг 2017, 18:40 Я советую внести TTL<60 action = DROP
После этого не будет доступа с мобильных телефонов и других Линуксов :)
Можно добавить некоторые правила на проверку еще. Не задумывался какую цепочку правил написать - но придумать точно можно что то )))
Изображение
StopDDoS.PRO Хостинг с защитой от DDoS атак