[Leninxxx]

С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24.

Итого получаем почти 500 попыток авторизации за минуту раз в пару часов.

Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает.

 

Сейчас реализовано так:
 

add action=drop chain=input comment="Drop List" src-address-list=drop_list
add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3
add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2
add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1
add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list

В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.

Есть идеи как это реализовать? 

[TheUser]

11 минут назад, Leninxxx сказал:

В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.Есть идеи как это реализовать? 

Костылем из планировщика?

[alibek]

Для начала нужно определиться, что такое "вся сеть".

Сетью можно считать и 0.0.0.0/0.

[Leninxxx]

17 минут назад, alibek сказал:

Для начала нужно определиться, что такое "вся сеть".

Сетью можно считать и 0.0.0.0/0.

ну брутят-то из сети /24, следовательно ее и хочется блокировать.

 

29 минут назад, TheUser сказал:

Костылем из планировщика?

Хочется более элегантого решения :)

[maxkst]

В 28.02.2020 в 01:00, Leninxxx сказал:

Хочется более элегантого решения :)

Закройте полностью PPtP, прикрутите port-knocking, и будет вам счастье ))

[rdmitrich]

попробуйте заменить pptp на ovpn !! Нам как раз такая замена помогла.

[Saab95]

В 28.02.2020 в 09:20, Leninxxx сказал:

В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.

Есть идеи как это реализовать? 

Все такие блокировки порой занимают ресурсы процессора и на больших объемах трафика их уже не применить.

Выгоднее тут иметь схему с белым трафиком.

Ну и уходить на другие протоколы - L2TP, SSTP.