Как защититься по портам? Что происходит?

Обсуждение ПО и его настройки
Ответить
danik84
Сообщения: 3
Зарегистрирован: 04 ноя 2019, 14:13

Здравствуйте.
Уже неделю от Firewall приходят сообщения, что с одного и того же IP есть попытки поключиться по портам.
Может кто-то объяснить, что происходит, и как заблокировать такие подключение на корню? :-(
Вот примеры:


Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Кто-то пытается подключиться по вашим портам.
Открыты они или закрыты, это только вы знаете.
Но так как в логе вообще есть эти сообщения, значит какое-то правило в firewall'е их таки отлавливает и обрабатывает, а вот сбрасывает или нет - посмотрите.

Что в вашем понимании на корню?
Добавьте этот адрес в список и создайте правило, которое будет все обращения с этого списка сбрасывать где-нибудь пораньше.

А вообще, наличие белого ip налагает некоторые требования к компетенции администратора.
Почитайте что-нибудь на тему, как правильно организовать firewall на микротике: с автоматической блокировкой адресов, с которых идет подозрительная активность, защитой от перебора портов, DDoS'а, SYN-flood'а и т.д.
Не обязательно всё из этого сразу к себе внедрять, особенно если подобные атаки единичны, но быть в курсе, как всё это быстро сделать, в случае необходимости - надо.
Точно так же, как и понимать базовые принципы работы firewall'а.


Telegram: @thexvo
danik84
Сообщения: 3
Зарегистрирован: 04 ноя 2019, 14:13

xvo писал(а): 04 ноя 2019, 14:55 Кто-то пытается подключиться по вашим портам.
Открыты они или закрыты, это только вы знаете.
Но так как в логе вообще есть эти сообщения, значит какое-то правило в firewall'е их таки отлавливает и обрабатывает, а вот сбрасывает или нет - посмотрите.

Что в вашем понимании на корню?
Добавьте этот адрес в список и создайте правило, которое будет все обращения с этого списка сбрасывать где-нибудь пораньше.

А вообще, наличие белого ip налагает некоторые требования к компетенции администратора.
Почитайте что-нибудь на тему, как правильно организовать firewall на микротике: с автоматической блокировкой адресов, с которых идет подозрительная активность, защитой от перебора портов, DDoS'а, SYN-flood'а и т.д.
Не обязательно всё из этого сразу к себе внедрять, особенно если подобные атаки единичны, но быть в курсе, как всё это быстро сделать, в случае необходимости - надо.
Точно так же, как и понимать базовые принципы работы firewall'а.
Спасибо за оперативный ответ. )
Меня смутило содержание ответа от firewall в логе. Ранее такого не было. Обычно идет какой-то банальный брутфорс с подбором паролей. Но такого рода подключения вижу впервые.
Я добавил в начало списка firewall drop на IP, который пытается подключиться, но это не помогает. Не могу понять в чем дело. Не хватает знаний и опыта. :-(
Как правильно дропнуть попытку такого подключения?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Так а почему вы решили, что они не дропаются? У вас в правиле стоит галка log=yes, поэтому вы видите в логе сообщение, что правило отработало.
Если у вас это drop правило, то просто снимите эту галку, пусть сбрасываются по-тихому и все.


Telegram: @thexvo
danik84
Сообщения: 3
Зарегистрирован: 04 ноя 2019, 14:13

xvo писал(а): 04 ноя 2019, 15:31 Так а почему вы решили, что они не дропаются? У вас в правиле стоит галка log=yes, поэтому вы видите в логе сообщение, что правило отработало.
Если у вас это drop правило, то просто снимите эту галку, пусть сбрасываются по-тихому и все.
Спасибо большое. Такие глупые вопросы, из-за незнания большей части матчасти ))
Теперь понятно. :hi_hi_hi:


Ответить