Доброго дня.
Просьба помочь в проблеме.
Есть терминальный сервер, который необходимо защитить от брутфорса.
Настроено правило NAT до сервера.
chain=dstnat action=netmap to-addresses=192.168.1.10 to-ports=3389
protocol=tcp dst-address=92.X.X.246 in-interface=eth1
dst-port=55555 log=yes log-prefix="RDP"
Настройки внешнего интерфейса
Address: 92.X.X.246/29
Network: 92.X.X.240
Interface: eth1
Проблема в том, что не определяется ip-адрес клиента, который пытается произвести подключение. Все подключения помечаются адресом шлюза.Пример лога:
10:17:44 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12567->92.X.X.246:55555, len 52
10:17:48 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:37665->92.X.X.246:55555, len 52
10:18:25 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12708->92.X.X.246:55555, len 52
Соответственно фильтровать кто подключается и с каких адресов не представляется возможным.
Буду благодарен за любую информацию.
Неверный адрес клиента при пробросе портов
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
Попробуйте сделать адрес-лист, например с названием No_RDP (будете вносить в него адреса, с которых нельзя подключаться). Для старта добавьте в него 8.8.8.8 :)
А в правило добавить Src. Address List = No_RDP с восклицательным знаком (т.е. кроме этого адрес листа).
Может тогда в логе что появится.
А в правило добавить Src. Address List = No_RDP с восклицательным знаком (т.е. кроме этого адрес листа).
Может тогда в логе что появится.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
(и добавлю):
если в логах ничего не появиться, звоните провайдеру (или кто ответственен)
за железку с адресом 92.X.X.241, есть подозрения (что она, железка)
НАТит адреса (Ваше сетку на выходе в Вашу сторону).
(это предположение лишь, но после исполнения советов от Erik_U будет уже чуть понятнее).
если в логах ничего не появиться, звоните провайдеру (или кто ответственен)
за железку с адресом 92.X.X.241, есть подозрения (что она, железка)
НАТит адреса (Ваше сетку на выходе в Вашу сторону).
(это предположение лишь, но после исполнения советов от Erik_U будет уже чуть понятнее).
-
- Сообщения: 3
- Зарегистрирован: 10 июн 2019, 11:23
Попробовал, добавил и свой внешний адрес. Все запросы приходят с адреса 92.X.X.241, поэтому меня не блокирует.Erik_U писал(а): ↑10 июн 2019, 12:01 Попробуйте сделать адрес-лист, например с названием No_RDP (будете вносить в него адреса, с которых нельзя подключаться). Для старта добавьте в него 8.8.8.8 :)
А в правило добавить Src. Address List = No_RDP с восклицательным знаком (т.е. кроме этого адрес листа).
Может тогда в логе что появится.
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
Все плохо.
А кто такой 92.X.X.241? (обычно операторы не делают нат в сторону клиента. Это какой то неправильный оператор).
А кто такой 92.X.X.241? (обычно операторы не делают нат в сторону клиента. Это какой то неправильный оператор).
-
- Сообщения: 3
- Зарегистрирован: 10 июн 2019, 11:23
Была проблема на стороне провайдера.
Всем спасибо.
Всем спасибо.