Leninxxx Опубликовано 28 февраля, 2020 С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24. Итого получаем почти 500 попыток авторизации за минуту раз в пару часов. Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает. Сейчас реализовано так: add action=drop chain=input comment="Drop List" src-address-list=drop_list add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3 add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2 add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1 add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 28 февраля, 2020 11 минут назад, Leninxxx сказал: В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.Есть идеи как это реализовать? Костылем из планировщика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 февраля, 2020 Для начала нужно определиться, что такое "вся сеть". Сетью можно считать и 0.0.0.0/0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 28 февраля, 2020 17 минут назад, alibek сказал: Для начала нужно определиться, что такое "вся сеть". Сетью можно считать и 0.0.0.0/0. ну брутят-то из сети /24, следовательно ее и хочется блокировать. 29 минут назад, TheUser сказал: Костылем из планировщика? Хочется более элегантого решения :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 9 марта, 2020 В 28.02.2020 в 01:00, Leninxxx сказал: Хочется более элегантого решения :) Закройте полностью PPtP, прикрутите port-knocking, и будет вам счастье )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdmitrich Опубликовано 10 марта, 2020 попробуйте заменить pptp на ovpn !! Нам как раз такая замена помогла. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 марта, 2020 В 28.02.2020 в 09:20, Leninxxx сказал: В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать? Все такие блокировки порой занимают ресурсы процессора и на больших объемах трафика их уже не применить. Выгоднее тут иметь схему с белым трафиком. Ну и уходить на другие протоколы - L2TP, SSTP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...