Jump to content
Калькуляторы

Поменять порт для РРТР

Добрый день!

 

На микротике поднята небольшая сетка с раздачей инета, для удаленного доступа в эту сеть использую поднятый на микротике РРТР-сервер.

 

Но есть небольшая проблема, периодически кто-то начинается с разных адресов ломиться из вне на поднятный РРТР, в результате забивает трафиком канал так, что начинает тормозить инет, проблема решается заходом на микротик по винбоксу и отключение РРТР-сервера. Когда снова понадобиться удаленно подключится по РРТР приходится зайти сначала по винбоксу и включить РРТР, а после также отключить РРТР, что очень неудобно и не иногда забываешь это сделать.

 

Думал сначала на атаки, но думаю, что наверное это какой-нибудь клиент р2р у тех, кто в сети использует также 443 порт для закачки. Решение вижу в двух вариантах:

 

1. Создать правило, запрещающее клиентам сети ходить по 443 порту

 

2. Поменять для РРТР 443 порт на какой-нибудь другой

 

Что можете посоветовать по данной проблеме?

Share this post


Link to post
Share on other sites

отзеркалить трафик в момент проблемы, проанализировать дамп на наличие активной p2p жизни, и вкатить люлей вредоносцу.

не совсем только понятно, откуда тут взялся 443й порт, он же для https используется.

Share this post


Link to post
Share on other sites

Ошибся 1723 конечно же, а не 443 )))

 

Искать такого чудака проблематично будет и долго займет времени, тем более через какое-то врем может вместо него может появится другой такой чудак..

И потом может действительно атаки из вне с разных адресов идут, точнее не атаки, а скажем трафик какой-нибудь виртуальной сети, если один из клиентов к примеру поставил у себя хамачи, клиент какой-нибудь игры или подобное что-то и поднял удаленный доступ, то возможно данное ПО начинает работать через все имеющиеся открытые порты, а учитывая, что клиенты сидят за натом, то 1723 для этого самое то...

 

Пришла идея создать правило на подключение через РРТР только с определенных IP, но я часто подключаюсь с 3G модема, а там всегда разный адрес...

 

Есть только идея ограничить количество коннектов через 1723 к примеру 1 в 30 секунд, а остальные дропать, как правильно это правило реализовать или есть еще какие-нибудь варианты?

Share this post


Link to post
Share on other sites

если у вас 1723 смотрит во внешний мир, то кроме как закрывать все правилами по принципу "этим можно, остальным нельзя" других адекватных вариантов нет - вы банально ловите на себя различные ботнеты.

и кстати, у сотовиков вроде как все еще существует услуга статического ip адреса, покрайней мере раньше она была за вполне вменяемые деньги.

Share this post


Link to post
Share on other sites

Можно через NAT, но как вы настроите порт в клиенте?

Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение.

Share this post


Link to post
Share on other sites

Можно через NAT, но как вы настроите порт в клиенте?

Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение.

 

а как будет выглядеть такое правило, если не сложно скиньте ссылку

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.