Jump to content
Калькуляторы

iptables "new" и "established" на примере openvpn

Не хватает знаний, подскажите пожалуйста:

Соединение становится "established" когда на отправленный пакет пришел ответ, но ведь ответ может быть в том числе "пшелвжопу" ? Можно ли firewall'ом отсекать хулиганов, которые брутфорсят openvpn сервер?

Вроде как эксперимент показывает что можно, но хочется полного понимания. В процессе хендшейка ведь пакеты в обе стороны идут, значит соединение станет established еще до авторизации ? Или как оно работает ?

 

Share this post


Link to post
Share on other sites

@grifin.ru 

Если вы про tcp, то да, авторизация идет после того как tcp.state==established

 

Типичная защита от брутфорса это fail2ban, который парсит логи и блокирует ip-шники через iptables

 

Ну и да, если тупо поменять порт на нестандартный, то боты будут долбится намного меньше (но это ни в коем случае не замена других способов защиты), просто чтобы ipset у вас был поменьше и нагрузка

Share this post


Link to post
Share on other sites

@s.lobanov 

Я пытаюсь на микротике сделать самодельный fail2ban через address list'ы

Пробую отталкиваться от FIN, которые шлет Ovpn Сервер при неудачной попытке авторизации.

Логика простая: если часто идут FINы - значит брутфорс.

Но вот думаю, на плохом канале ложных срабатываний не будет ?

@pppoetest 

Очень полезный ответ ;)

Share this post


Link to post
Share on other sites

Хватит изобретать велосипеды. Как вы отловите FIN?

 

Делайте тоже самое что делает fail2ban - парсить логи и вносить ip в ipset

 

Заготовки тут - https://wiki.mikrotik.com/wiki/Log_Parser_-_Event_Trigger_Script

Share this post


Link to post
Share on other sites

@s.lobanov 

Вот по такому принципу:

https://hd.zp.ua/fail2ban-dlya-mikrotik-skriptovaya-zamena/

Только смотрим не входящий  state=NEW

а на исходящий TCP Flags = FIN

 

 

Share this post


Link to post
Share on other sites

Но что-то я смотрю по ЛОГам, даже при установке туннеля полномочным клинетом - все равно в логе куча FINов.

Как бы так сделать красиво и надежно ?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.