grifin.ru Опубликовано 21 апреля, 2018 Не хватает знаний, подскажите пожалуйста: Соединение становится "established" когда на отправленный пакет пришел ответ, но ведь ответ может быть в том числе "пшелвжопу" ? Можно ли firewall'ом отсекать хулиганов, которые брутфорсят openvpn сервер? Вроде как эксперимент показывает что можно, но хочется полного понимания. В процессе хендшейка ведь пакеты в обе стороны идут, значит соединение станет established еще до авторизации ? Или как оно работает ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 22 апреля, 2018 https://ru.wikipedia.org/wiki/Transmission_Control_Protocol#Установка_соединения Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 апреля, 2018 @grifin.ru Если вы про tcp, то да, авторизация идет после того как tcp.state==established Типичная защита от брутфорса это fail2ban, который парсит логи и блокирует ip-шники через iptables Ну и да, если тупо поменять порт на нестандартный, то боты будут долбится намного меньше (но это ни в коем случае не замена других способов защиты), просто чтобы ipset у вас был поменьше и нагрузка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 22 апреля, 2018 @s.lobanov Я пытаюсь на микротике сделать самодельный fail2ban через address list'ы Пробую отталкиваться от FIN, которые шлет Ovpn Сервер при неудачной попытке авторизации. Логика простая: если часто идут FINы - значит брутфорс. Но вот думаю, на плохом канале ложных срабатываний не будет ? @pppoetest Очень полезный ответ ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 апреля, 2018 Хватит изобретать велосипеды. Как вы отловите FIN? Делайте тоже самое что делает fail2ban - парсить логи и вносить ip в ipset Заготовки тут - https://wiki.mikrotik.com/wiki/Log_Parser_-_Event_Trigger_Script Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 22 апреля, 2018 2 минуты назад, s.lobanov сказал: Как вы отловите FIN? TCP Flags Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 апреля, 2018 Т.е. анализировать копию трафика или постоянно смотреть на таблицу коннтрек? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 22 апреля, 2018 @s.lobanov Вот по такому принципу: https://hd.zp.ua/fail2ban-dlya-mikrotik-skriptovaya-zamena/ Только смотрим не входящий state=NEW а на исходящий TCP Flags = FIN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 22 апреля, 2018 Но что-то я смотрю по ЛОГам, даже при установке туннеля полномочным клинетом - все равно в логе куча FINов. Как бы так сделать красиво и надежно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
