DROP rule работает, но логи завалены обращениями на порт

Обсуждение ПО и его настройки
Ответить
aleksandr.sn
Сообщения: 10
Зарегистрирован: 03 окт 2018, 12:53

Добрый день, есть настроенный проброс порта на rdp. Несколько раз в неделю этот порт начинают брутить, бывает реже.
Обычно либо скриптом либо руками добавляю адрес в блок лист и через firewall дропаю.
Все нормально работало, сегодня столкнулся с тем что трафик с определенного ip дропается, но вот логи все равно завалены обращениями на порт, раньше такого не было. Проверил логи rdp на сервер на который идет проброс, действительно до него трафик не доходит.
Но логи микротика заспамлены обращениями на порт. Ничего не обновлялось и не изменялось. Может я что-то упускаю. Прикладываю скрины
На скрине я даже добавил этот ip отдельный правилом, та же ситуация.


Изображение

Изображение


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.


aleksandr.sn
Сообщения: 10
Зарегистрирован: 03 окт 2018, 12:53

KARaS'b писал(а): 01 ноя 2018, 10:24 в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.
То же сначала про это подумал, но нет.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

KARaS'b писал(а): 01 ноя 2018, 10:24 в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.
Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.


Telegram: @thexvo
aleksandr.sn
Сообщения: 10
Зарегистрирован: 03 окт 2018, 12:53

xvo писал(а): 01 ноя 2018, 11:24
KARaS'b писал(а): 01 ноя 2018, 10:24 в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.
Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.
в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

aleksandr.sn писал(а): 01 ноя 2018, 11:55
xvo писал(а): 01 ноя 2018, 11:24
KARaS'b писал(а): 01 ноя 2018, 10:24 в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.
Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.
в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста
Примерно это я и имел ввиду, не важно где, в фильтрах, или нате, но это последствия галочки, принцип работы которой предельно просто - если пакет прошел и подпал под правило, ака увеличил его счетчик и если стоит галочка, то в лог что-то вывалится. Возможно галочку поставили не специально и раньше ее не было? Потому что если бы она была и раньше, то и в логах бы у вас постоянно было что-то, причем поскольку это правило ната, как заметил xvo, то трафик обрабатывается этим правилом еще до фаервола, т.е. даже разрешенные адреса увеличивают счетчик правила и соответсвенно даже они попадают в лог.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

aleksandr.sn писал(а): 01 ноя 2018, 11:55
xvo писал(а): 01 ноя 2018, 11:24
KARaS'b писал(а): 01 ноя 2018, 10:24 в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.
Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.
в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста
Таблица RAW, цепочка prerouting.
Но это имеет смысл, если атака действительно сильно нагружает устройство.
Если нет, то перенеся дроп "раньше" firewall'а вы тем самым заставите весь траффик проверяться этим правилом, даже established и related, который скорее всего у вас в firewall разрешается сходу, не проходя остальные правила.
Иными словами: перенося что-то в raw вы чуть-чуть увеличиваете постоянную нагрузку, но сильно снижаете нагрузку от атаки.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw


Telegram: @thexvo
aleksandr.sn
Сообщения: 10
Зарегистрирован: 03 окт 2018, 12:53

xvo писал(а): 01 ноя 2018, 12:22
aleksandr.sn писал(а): 01 ноя 2018, 11:55
xvo писал(а): 01 ноя 2018, 11:24
Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.
в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста
Таблица RAW, цепочка prerouting.
Но это имеет смысл, если атака действительно сильно нагружает устройство.
Если нет, то перенеся дроп "раньше" firewall'а вы тем самым заставите весь траффик проверяться этим правилом, даже established и related, который скорее всего у вас в firewall разрешается сходу, не проходя остальные правила.
Иными словами: перенося что-то в raw вы чуть-чуть увеличиваете постоянную нагрузку, но сильно снижаете нагрузку от атаки.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw
Спасибо за разъяснение!
Галочка на логирование dst-nat порта у меня стояла всегда, когда начинался спам брутфорса в логах с одного ip, я этот ip заносил в blocklist, так вот после занесения в блоклист этот ip в логах больше не "мусорил". Вот удивлен что сейчас этого не произошло и ip продолжает мусорить.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Создайте правило, которое автоматом будет добавлять в лист, если с одного ip количество попыток подключений превышает порог.


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

aleksandr.sn писал(а): 01 ноя 2018, 09:40 Но логи микротика заспамлены обращениями на порт. Ничего не обновлялось и не изменялось. Может я что-то упускаю. Прикладываю скрины
На скрине я даже добавил этот ip отдельный правилом, та же ситуация.
На Вашем скрине я заметил что тип записи это "disk", а должно обычно тип быть "memory"

Зайдите в System-Logging и проверьте, там как выставлены критерии и настройки вообще?
Может в них дело....может Вы как-то давно режим дебага включили?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить