[chetkiyparen]

Добрый день!

 

На микротике поднята небольшая сетка с раздачей инета, для удаленного доступа в эту сеть использую поднятый на микротике РРТР-сервер.

 

Но есть небольшая проблема, периодически кто-то начинается с разных адресов ломиться из вне на поднятный РРТР, в результате забивает трафиком канал так, что начинает тормозить инет, проблема решается заходом на микротик по винбоксу и отключение РРТР-сервера. Когда снова понадобиться удаленно подключится по РРТР приходится зайти сначала по винбоксу и включить РРТР, а после также отключить РРТР, что очень неудобно и не иногда забываешь это сделать.

 

Думал сначала на атаки, но думаю, что наверное это какой-нибудь клиент р2р у тех, кто в сети использует также 443 порт для закачки. Решение вижу в двух вариантах:

 

1. Создать правило, запрещающее клиентам сети ходить по 443 порту

 

2. Поменять для РРТР 443 порт на какой-нибудь другой

 

Что можете посоветовать по данной проблеме?

[darkagent]

отзеркалить трафик в момент проблемы, проанализировать дамп на наличие активной p2p жизни, и вкатить люлей вредоносцу.

не совсем только понятно, откуда тут взялся 443й порт, он же для https используется.

[chetkiyparen]

Ошибся 1723 конечно же, а не 443 )))

 

Искать такого чудака проблематично будет и долго займет времени, тем более через какое-то врем может вместо него может появится другой такой чудак..

И потом может действительно атаки из вне с разных адресов идут, точнее не атаки, а скажем трафик какой-нибудь виртуальной сети, если один из клиентов к примеру поставил у себя хамачи, клиент какой-нибудь игры или подобное что-то и поднял удаленный доступ, то возможно данное ПО начинает работать через все имеющиеся открытые порты, а учитывая, что клиенты сидят за натом, то 1723 для этого самое то...

 

Пришла идея создать правило на подключение через РРТР только с определенных IP, но я часто подключаюсь с 3G модема, а там всегда разный адрес...

 

Есть только идея ограничить количество коннектов через 1723 к примеру 1 в 30 секунд, а остальные дропать, как правильно это правило реализовать или есть еще какие-нибудь варианты?

[darkagent]

если у вас 1723 смотрит во внешний мир, то кроме как закрывать все правилами по принципу "этим можно, остальным нельзя" других адекватных вариантов нет - вы банально ловите на себя различные ботнеты.

и кстати, у сотовиков вроде как все еще существует услуга статического ip адреса, покрайней мере раньше она была за вполне вменяемые деньги.

[chetkiyparen]

а нельзя как-нибудь поменять порт для РРТР с 1723 на другой?

[danilbal]

На микротике афаик нет.

[dmvy]

Можно через NAT, но как вы настроите порт в клиенте?

Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение.

[chetkiyparen]

Можно через NAT, но как вы настроите порт в клиенте?

Ограничить количество SYN пакетов может помочь. К примеру 1 пакет в 5 минут. Одна попытка подбора без успеха и вследующий раз только через 5 минут разрешит подключение.

 

а как будет выглядеть такое правило, если не сложно скиньте ссылку