Leninxxx Опубликовано 28 февраля, 2020 · Жалоба С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24. Итого получаем почти 500 попыток авторизации за минуту раз в пару часов. Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает. Сейчас реализовано так: add action=drop chain=input comment="Drop List" src-address-list=drop_list add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3 add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2 add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1 add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 28 февраля, 2020 · Жалоба 11 минут назад, Leninxxx сказал: В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.Есть идеи как это реализовать? Костылем из планировщика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 февраля, 2020 · Жалоба Для начала нужно определиться, что такое "вся сеть". Сетью можно считать и 0.0.0.0/0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 28 февраля, 2020 · Жалоба 17 минут назад, alibek сказал: Для начала нужно определиться, что такое "вся сеть". Сетью можно считать и 0.0.0.0/0. ну брутят-то из сети /24, следовательно ее и хочется блокировать. 29 минут назад, TheUser сказал: Костылем из планировщика? Хочется более элегантого решения :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 9 марта, 2020 · Жалоба В 28.02.2020 в 01:00, Leninxxx сказал: Хочется более элегантого решения :) Закройте полностью PPtP, прикрутите port-knocking, и будет вам счастье )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdmitrich Опубликовано 10 марта, 2020 · Жалоба попробуйте заменить pptp на ovpn !! Нам как раз такая замена помогла. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 марта, 2020 · Жалоба В 28.02.2020 в 09:20, Leninxxx сказал: В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать? Все такие блокировки порой занимают ресурсы процессора и на больших объемах трафика их уже не применить. Выгоднее тут иметь схему с белым трафиком. Ну и уходить на другие протоколы - L2TP, SSTP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...