Leninxxx Posted February 28, 2020 Posted February 28, 2020 С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24. Итого получаем почти 500 попыток авторизации за минуту раз в пару часов. Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает. Сейчас реализовано так: add action=drop chain=input comment="Drop List" src-address-list=drop_list add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3 add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2 add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1 add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать? Вставить ник Quote
TheUser Posted February 28, 2020 Posted February 28, 2020 11 минут назад, Leninxxx сказал: В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.Есть идеи как это реализовать? Костылем из планировщика? Вставить ник Quote
alibek Posted February 28, 2020 Posted February 28, 2020 Для начала нужно определиться, что такое "вся сеть". Сетью можно считать и 0.0.0.0/0. Вставить ник Quote
Leninxxx Posted February 28, 2020 Author Posted February 28, 2020 17 минут назад, alibek сказал: Для начала нужно определиться, что такое "вся сеть". Сетью можно считать и 0.0.0.0/0. ну брутят-то из сети /24, следовательно ее и хочется блокировать. 29 минут назад, TheUser сказал: Костылем из планировщика? Хочется более элегантого решения :) Вставить ник Quote
maxkst Posted March 9, 2020 Posted March 9, 2020 В 28.02.2020 в 01:00, Leninxxx сказал: Хочется более элегантого решения :) Закройте полностью PPtP, прикрутите port-knocking, и будет вам счастье )) Вставить ник Quote
rdmitrich Posted March 10, 2020 Posted March 10, 2020 попробуйте заменить pptp на ovpn !! Нам как раз такая замена помогла. Вставить ник Quote
Saab95 Posted March 24, 2020 Posted March 24, 2020 В 28.02.2020 в 09:20, Leninxxx сказал: В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать? Все такие блокировки порой занимают ресурсы процессора и на больших объемах трафика их уже не применить. Выгоднее тут иметь схему с белым трафиком. Ну и уходить на другие протоколы - L2TP, SSTP. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.