chetkiyparen Posted August 28, 2014 · Report post Добрый день! На микротике поднята небольшая сетка с раздачей инета, для удаленного доступа в эту сеть использую поднятый на микротике РРТР-сервер. Но есть небольшая проблема, периодически кто-то начинается с разных адресов ломиться из вне на поднятный РРТР, в результате забивает трафиком канал так, что начинает тормозить инет, проблема решается заходом на микротик по винбоксу и отключение РРТР-сервера. Когда снова понадобиться удаленно подключится по РРТР приходится зайти сначала по винбоксу и включить РРТР, а после также отключить РРТР, что очень неудобно и не иногда забываешь это сделать. Думал сначала на атаки, но думаю, что наверное это какой-нибудь клиент р2р у тех, кто в сети использует также 443 порт для закачки. Решение вижу в двух вариантах: 1. Создать правило, запрещающее клиентам сети ходить по 443 порту 2. Поменять для РРТР 443 порт на какой-нибудь другой Что можете посоветовать по данной проблеме? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted August 28, 2014 · Report post отзеркалить трафик в момент проблемы, проанализировать дамп на наличие активной p2p жизни, и вкатить люлей вредоносцу. не совсем только понятно, откуда тут взялся 443й порт, он же для https используется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted August 28, 2014 · Report post Ошибся 1723 конечно же, а не 443 ))) Искать такого чудака проблематично будет и долго займет времени, тем более через какое-то врем может вместо него может появится другой такой чудак.. И потом может действительно атаки из вне с разных адресов идут, точнее не атаки, а скажем трафик какой-нибудь виртуальной сети, если один из клиентов к примеру поставил у себя хамачи, клиент какой-нибудь игры или подобное что-то и поднял удаленный доступ, то возможно данное ПО начинает работать через все имеющиеся открытые порты, а учитывая, что клиенты сидят за натом, то 1723 для этого самое то... Пришла идея создать правило на подключение через РРТР только с определенных IP, но я часто подключаюсь с 3G модема, а там всегда разный адрес... Есть только идея ограничить количество коннектов через 1723 к примеру 1 в 30 секунд, а остальные дропать, как правильно это правило реализовать или есть еще какие-нибудь варианты? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted August 28, 2014 · Report post если у вас 1723 смотрит во внешний мир, то кроме как закрывать все правилами по принципу "этим можно, остальным нельзя" других адекватных вариантов нет - вы банально ловите на себя различные ботнеты. и кстати, у сотовиков вроде как все еще существует услуга статического ip адреса, покрайней мере раньше она была за вполне вменяемые деньги. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted August 28, 2014 · Report post а нельзя как-нибудь поменять порт для РРТР с 1723 на другой? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
danilbal Posted August 28, 2014 · Report post На микротике афаик нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted August 28, 2014 · Report post Можно через NAT, но как вы настроите порт в клиенте? Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted August 28, 2014 · Report post Можно через NAT, но как вы настроите порт в клиенте? Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение. а как будет выглядеть такое правило, если не сложно скиньте ссылку Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...