Fail2ban

[grifin.ru]

Нашел в интернете решение когда адрес проходит через 4 разных address-list.

А зачем такой изврат ?

Почему не поставить limit'ы на new connection ?

Если можно - буду благодарен за работающий пример.

[vvertexx]

fail2ban для чего? лимит на новые подключения - в надежде, что твоё подключение не будет дропнуто, а злоумышленика - дропнет? А чем твоё будет лучше?

[grifin.ru]

fail2ban для чего? лимит на новые подключения - в надежде, что твоё подключение не будет дропнуто, а злоумышленика - дропнет? А чем твоё будет лучше?

PCC еще добавить.

Лимитрировать количество новых сессий в единицу времени для одной пары src-dst

как-то так. Точной картины в голове еще нет, поэтому и советуюсь

[Saab95]

Не надо так делать - это сильно увеличит нагрузку на процессор и внесет путаницу в работу.

[grifin.ru]

Saab95

А как надо ?

[Saab95]

Saab95

А как надо ?

 

Установите на микротике запрет на все входящие подключения или установите фильтры на используемых сервисах, а администратор может по PPP протоколу подключаться, если нужен доступ снаружи. Либо после микротика или перед ним устанавливаете другой микротик и управляете сетью через него, а на основном все закрыто.

 

Тут же получается как - нужно соединения смотреть - нужно включить CT, а его включение сразу замедляет работу роутера.

[grifin.ru]

Saab95

1. Я хочу ТРАНЗИТНЫЙ fail2ban, который защитит сервера за микротиком, а не сам микротик. То что на это потребуются ресурсы ЦПУ - мне понятно.

2. Просьба при отвкете на мои вопросы из всех предложений исключать вариант установки двух и более микротиков )

[Saab95]

Пара src-dst не надо. Если у вас есть IP до которых нужно закрыть доступ, то делаете правила для одного IP или сразу всех IP серверов.

 

Создаете правило, что если Connection State = new то помещаете src-address в адрес лист List1.

Второе правило, что если src-address находится в адрес листе List1, и Connection State = new, то поместить src-address в адрес лист List2

 

Повторить правило меняя номера адрес листов нужное количество раз. Указываете нужные таймауты времени размещения адресов в листе.

 

Если у вас последний адрес лист List4, то создаете правило дропа с адресов в этом листе на адреса серверов.

 

Естественно, нужно сделать уточнения по dst направлениям - это можно сделать путем создания адрес листа со списком всех IP серверов. Что бы правила весь трафик не заблокировали=) Уточнения делаете только в первом правиле, которое добавляет в List1.

 

Если у вас не большое количество IP адресов серверов - то делаете копию правил с другими наименованиями адрес листов.

[grifin.ru]

Saab95

Эта схема мне известна. Но она мне не нравится своей кривизной. А если, скажем, нужно пропускать 100 коннекшенов - 100 листов создавать ? Бред.

[Saab95]

Saab95

Эта схема мне известна. Но она мне не нравится своей кривизной. А если, скажем, нужно пропускать 100 коннекшенов - 100 листов создавать ? Бред.

 

Используйте сторонний сервер, на который микротик будет отправлять сообщения о пришедшем трафика и соединениях, а уже он будет добавлять IP в адрес листы.

Так же можно использовать разные системы блокировки трафика.

Ведь если у вас 100 адресов - это уже не говорит об экономии.

[grifin.ru]

Saab95

Про 100 соединений (не адресов) комментарий был теоретическим. Мне не нравится сама схема - создавать по 4 и более адресс-листов. Колхоз какой-то.

Пытаюсь найти более красивое решение, в котором количество соединений можно задать цифрой.

[Saab95]

Проблем нет если вы будете считать общее количество попыток ко всем серверам. Тогда создаете один адрес лист со списком адресов этих серверов. В правиле считаете новые соединения по направлению этого списка, и если делать 4 адрес листа тогда будут всего 4 соединения на все эти 100 устройств.