grifin.ru Posted April 21, 2018 · Report post Не хватает знаний, подскажите пожалуйста: Соединение становится "established" когда на отправленный пакет пришел ответ, но ведь ответ может быть в том числе "пшелвжопу" ? Можно ли firewall'ом отсекать хулиганов, которые брутфорсят openvpn сервер? Вроде как эксперимент показывает что можно, но хочется полного понимания. В процессе хендшейка ведь пакеты в обе стороны идут, значит соединение станет established еще до авторизации ? Или как оно работает ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted April 22, 2018 · Report post https://ru.wikipedia.org/wiki/Transmission_Control_Protocol#Установка_соединения Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 22, 2018 · Report post @grifin.ru Если вы про tcp, то да, авторизация идет после того как tcp.state==established Типичная защита от брутфорса это fail2ban, который парсит логи и блокирует ip-шники через iptables Ну и да, если тупо поменять порт на нестандартный, то боты будут долбится намного меньше (но это ни в коем случае не замена других способов защиты), просто чтобы ipset у вас был поменьше и нагрузка Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted April 22, 2018 · Report post @s.lobanov Я пытаюсь на микротике сделать самодельный fail2ban через address list'ы Пробую отталкиваться от FIN, которые шлет Ovpn Сервер при неудачной попытке авторизации. Логика простая: если часто идут FINы - значит брутфорс. Но вот думаю, на плохом канале ложных срабатываний не будет ? @pppoetest Очень полезный ответ ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 22, 2018 · Report post Хватит изобретать велосипеды. Как вы отловите FIN? Делайте тоже самое что делает fail2ban - парсить логи и вносить ip в ipset Заготовки тут - https://wiki.mikrotik.com/wiki/Log_Parser_-_Event_Trigger_Script Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted April 22, 2018 · Report post 2 минуты назад, s.lobanov сказал: Как вы отловите FIN? TCP Flags Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 22, 2018 · Report post Т.е. анализировать копию трафика или постоянно смотреть на таблицу коннтрек? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted April 22, 2018 · Report post @s.lobanov Вот по такому принципу: https://hd.zp.ua/fail2ban-dlya-mikrotik-skriptovaya-zamena/ Только смотрим не входящий state=NEW а на исходящий TCP Flags = FIN Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted April 22, 2018 · Report post Но что-то я смотрю по ЛОГам, даже при установке туннеля полномочным клинетом - все равно в логе куча FINов. Как бы так сделать красиво и надежно ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...