grifin.ru Опубликовано 16 марта, 2017 · Жалоба Нашел в интернете решение когда адрес проходит через 4 разных address-list. А зачем такой изврат ? Почему не поставить limit'ы на new connection ? Если можно - буду благодарен за работающий пример. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 16 марта, 2017 · Жалоба fail2ban для чего? лимит на новые подключения - в надежде, что твоё подключение не будет дропнуто, а злоумышленика - дропнет? А чем твоё будет лучше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 16 марта, 2017 · Жалоба fail2ban для чего? лимит на новые подключения - в надежде, что твоё подключение не будет дропнуто, а злоумышленика - дропнет? А чем твоё будет лучше? PCC еще добавить. Лимитрировать количество новых сессий в единицу времени для одной пары src-dst как-то так. Точной картины в голове еще нет, поэтому и советуюсь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 марта, 2017 · Жалоба Не надо так делать - это сильно увеличит нагрузку на процессор и внесет путаницу в работу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 16 марта, 2017 · Жалоба Saab95 А как надо ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 марта, 2017 · Жалоба Saab95 А как надо ? Установите на микротике запрет на все входящие подключения или установите фильтры на используемых сервисах, а администратор может по PPP протоколу подключаться, если нужен доступ снаружи. Либо после микротика или перед ним устанавливаете другой микротик и управляете сетью через него, а на основном все закрыто. Тут же получается как - нужно соединения смотреть - нужно включить CT, а его включение сразу замедляет работу роутера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 16 марта, 2017 · Жалоба Saab95 1. Я хочу ТРАНЗИТНЫЙ fail2ban, который защитит сервера за микротиком, а не сам микротик. То что на это потребуются ресурсы ЦПУ - мне понятно. 2. Просьба при отвкете на мои вопросы из всех предложений исключать вариант установки двух и более микротиков ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 марта, 2017 · Жалоба Пара src-dst не надо. Если у вас есть IP до которых нужно закрыть доступ, то делаете правила для одного IP или сразу всех IP серверов. Создаете правило, что если Connection State = new то помещаете src-address в адрес лист List1. Второе правило, что если src-address находится в адрес листе List1, и Connection State = new, то поместить src-address в адрес лист List2 Повторить правило меняя номера адрес листов нужное количество раз. Указываете нужные таймауты времени размещения адресов в листе. Если у вас последний адрес лист List4, то создаете правило дропа с адресов в этом листе на адреса серверов. Естественно, нужно сделать уточнения по dst направлениям - это можно сделать путем создания адрес листа со списком всех IP серверов. Что бы правила весь трафик не заблокировали=) Уточнения делаете только в первом правиле, которое добавляет в List1. Если у вас не большое количество IP адресов серверов - то делаете копию правил с другими наименованиями адрес листов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 17 марта, 2017 · Жалоба Saab95 Эта схема мне известна. Но она мне не нравится своей кривизной. А если, скажем, нужно пропускать 100 коннекшенов - 100 листов создавать ? Бред. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 марта, 2017 · Жалоба Saab95 Эта схема мне известна. Но она мне не нравится своей кривизной. А если, скажем, нужно пропускать 100 коннекшенов - 100 листов создавать ? Бред. Используйте сторонний сервер, на который микротик будет отправлять сообщения о пришедшем трафика и соединениях, а уже он будет добавлять IP в адрес листы. Так же можно использовать разные системы блокировки трафика. Ведь если у вас 100 адресов - это уже не говорит об экономии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 18 марта, 2017 · Жалоба Saab95 Про 100 соединений (не адресов) комментарий был теоретическим. Мне не нравится сама схема - создавать по 4 и более адресс-листов. Колхоз какой-то. Пытаюсь найти более красивое решение, в котором количество соединений можно задать цифрой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 марта, 2017 · Жалоба Проблем нет если вы будете считать общее количество попыток ко всем серверам. Тогда создаете один адрес лист со списком адресов этих серверов. В правиле считаете новые соединения по направлению этого списка, и если делать 4 адрес листа тогда будут всего 4 соединения на все эти 100 устройств. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...