Jump to content
Калькуляторы

Fail2ban

Нашел в интернете решение когда адрес проходит через 4 разных address-list.

А зачем такой изврат ?

Почему не поставить limit'ы на new connection ?

Если можно - буду благодарен за работающий пример.

Share this post


Link to post
Share on other sites

fail2ban для чего? лимит на новые подключения - в надежде, что твоё подключение не будет дропнуто, а злоумышленика - дропнет? А чем твоё будет лучше?

Share this post


Link to post
Share on other sites

fail2ban для чего? лимит на новые подключения - в надежде, что твоё подключение не будет дропнуто, а злоумышленика - дропнет? А чем твоё будет лучше?

PCC еще добавить.

Лимитрировать количество новых сессий в единицу времени для одной пары src-dst

как-то так. Точной картины в голове еще нет, поэтому и советуюсь

Share this post


Link to post
Share on other sites

Не надо так делать - это сильно увеличит нагрузку на процессор и внесет путаницу в работу.

Share this post


Link to post
Share on other sites

Saab95

А как надо ?

 

Установите на микротике запрет на все входящие подключения или установите фильтры на используемых сервисах, а администратор может по PPP протоколу подключаться, если нужен доступ снаружи. Либо после микротика или перед ним устанавливаете другой микротик и управляете сетью через него, а на основном все закрыто.

 

Тут же получается как - нужно соединения смотреть - нужно включить CT, а его включение сразу замедляет работу роутера.

Share this post


Link to post
Share on other sites

Saab95

1. Я хочу ТРАНЗИТНЫЙ fail2ban, который защитит сервера за микротиком, а не сам микротик. То что на это потребуются ресурсы ЦПУ - мне понятно.

2. Просьба при отвкете на мои вопросы из всех предложений исключать вариант установки двух и более микротиков )

Share this post


Link to post
Share on other sites

Пара src-dst не надо. Если у вас есть IP до которых нужно закрыть доступ, то делаете правила для одного IP или сразу всех IP серверов.

 

Создаете правило, что если Connection State = new то помещаете src-address в адрес лист List1.

Второе правило, что если src-address находится в адрес листе List1, и Connection State = new, то поместить src-address в адрес лист List2

 

Повторить правило меняя номера адрес листов нужное количество раз. Указываете нужные таймауты времени размещения адресов в листе.

 

Если у вас последний адрес лист List4, то создаете правило дропа с адресов в этом листе на адреса серверов.

 

Естественно, нужно сделать уточнения по dst направлениям - это можно сделать путем создания адрес листа со списком всех IP серверов. Что бы правила весь трафик не заблокировали=) Уточнения делаете только в первом правиле, которое добавляет в List1.

 

Если у вас не большое количество IP адресов серверов - то делаете копию правил с другими наименованиями адрес листов.

Share this post


Link to post
Share on other sites

Saab95

Эта схема мне известна. Но она мне не нравится своей кривизной. А если, скажем, нужно пропускать 100 коннекшенов - 100 листов создавать ? Бред.

Share this post


Link to post
Share on other sites

Saab95

Эта схема мне известна. Но она мне не нравится своей кривизной. А если, скажем, нужно пропускать 100 коннекшенов - 100 листов создавать ? Бред.

 

Используйте сторонний сервер, на который микротик будет отправлять сообщения о пришедшем трафика и соединениях, а уже он будет добавлять IP в адрес листы.

Так же можно использовать разные системы блокировки трафика.

Ведь если у вас 100 адресов - это уже не говорит об экономии.

Share this post


Link to post
Share on other sites

Saab95

Про 100 соединений (не адресов) комментарий был теоретическим. Мне не нравится сама схема - создавать по 4 и более адресс-листов. Колхоз какой-то.

Пытаюсь найти более красивое решение, в котором количество соединений можно задать цифрой.

Share this post


Link to post
Share on other sites

Проблем нет если вы будете считать общее количество попыток ко всем серверам. Тогда создаете один адрес лист со списком адресов этих серверов. В правиле считаете новые соединения по направлению этого списка, и если делать 4 адрес листа тогда будут всего 4 соединения на все эти 100 устройств.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this