chetkiyparen Опубликовано 28 августа, 2014 · Жалоба Добрый день! На микротике поднята небольшая сетка с раздачей инета, для удаленного доступа в эту сеть использую поднятый на микротике РРТР-сервер. Но есть небольшая проблема, периодически кто-то начинается с разных адресов ломиться из вне на поднятный РРТР, в результате забивает трафиком канал так, что начинает тормозить инет, проблема решается заходом на микротик по винбоксу и отключение РРТР-сервера. Когда снова понадобиться удаленно подключится по РРТР приходится зайти сначала по винбоксу и включить РРТР, а после также отключить РРТР, что очень неудобно и не иногда забываешь это сделать. Думал сначала на атаки, но думаю, что наверное это какой-нибудь клиент р2р у тех, кто в сети использует также 443 порт для закачки. Решение вижу в двух вариантах: 1. Создать правило, запрещающее клиентам сети ходить по 443 порту 2. Поменять для РРТР 443 порт на какой-нибудь другой Что можете посоветовать по данной проблеме? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 28 августа, 2014 · Жалоба отзеркалить трафик в момент проблемы, проанализировать дамп на наличие активной p2p жизни, и вкатить люлей вредоносцу. не совсем только понятно, откуда тут взялся 443й порт, он же для https используется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 28 августа, 2014 · Жалоба Ошибся 1723 конечно же, а не 443 ))) Искать такого чудака проблематично будет и долго займет времени, тем более через какое-то врем может вместо него может появится другой такой чудак.. И потом может действительно атаки из вне с разных адресов идут, точнее не атаки, а скажем трафик какой-нибудь виртуальной сети, если один из клиентов к примеру поставил у себя хамачи, клиент какой-нибудь игры или подобное что-то и поднял удаленный доступ, то возможно данное ПО начинает работать через все имеющиеся открытые порты, а учитывая, что клиенты сидят за натом, то 1723 для этого самое то... Пришла идея создать правило на подключение через РРТР только с определенных IP, но я часто подключаюсь с 3G модема, а там всегда разный адрес... Есть только идея ограничить количество коннектов через 1723 к примеру 1 в 30 секунд, а остальные дропать, как правильно это правило реализовать или есть еще какие-нибудь варианты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 28 августа, 2014 · Жалоба если у вас 1723 смотрит во внешний мир, то кроме как закрывать все правилами по принципу "этим можно, остальным нельзя" других адекватных вариантов нет - вы банально ловите на себя различные ботнеты. и кстати, у сотовиков вроде как все еще существует услуга статического ip адреса, покрайней мере раньше она была за вполне вменяемые деньги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 28 августа, 2014 · Жалоба а нельзя как-нибудь поменять порт для РРТР с 1723 на другой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
danilbal Опубликовано 28 августа, 2014 · Жалоба На микротике афаик нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 28 августа, 2014 · Жалоба Можно через NAT, но как вы настроите порт в клиенте? Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 28 августа, 2014 · Жалоба Можно через NAT, но как вы настроите порт в клиенте? Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение. а как будет выглядеть такое правило, если не сложно скиньте ссылку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...