q2ker писал(а): ↑08 окт 2019, 10:11
# В цепоче forward
add action=drop chain=forward comment=”Block BruteForcers” in-interface-list=ISP src-address-list=BruteForcers
add action=jump chain=forward comment=”RDP. Go into the chain for detecting Bruteforcers” connection-state=new dst-port=3389 in-interface-list=ISP jump-target=BruteForcersDetect protocol=tcp
# Цепочка BruteForcersDetect
add action=add-src-to-address-list address-list=BruteForcers address-list-timeout=30m chain=BruteForcersDetect src-address-list=BruteForcers_Step3
add action=add-src-to-address-list address-list=BruteForcers_Step3 address-list-timeout=30m chain=BruteForcersDetect src-address-list=BruteForcers_Step2
add action=add-src-to-address-list address-list=BruteForcers_Step2 address-list-timeout=30m chain=BruteForcersDetect src-address-list=BruteForcers_Step1
add action=add-src-to-address-list address-list=BruteForcers_Step1 address-list-timeout=30m chain=BruteForcersDetect
add action=return chain=BruteForcersDetect comment=”End of chain and return.”
Коллеги, я правильно понимаю что:
1 Все новые соединения с пометкой new попадают из chain forward в chain BruteForcersDetect?
2 Там IP попадают в list1.
3 Из list1 в list2 и т.д.
Вопрос:
1 Зачем в chain BruteForcersDetect нужен action return?
2 Имеет ли разница очередности правил в chain BruteForcersDetect?
3 Я правильно понимаю что приходит новый connection и попадает в chain BruteForcersDetect, где все правила работают параллельно? Т.е. система сама проверяет какое условие будет выполнено? Я просто не понимаю, как может быть, что есть конкурентные правила: Все IP попадают в List1, и тут-же правило что из List1(если он там был) в List2. Почему не происходит зацикливание всех адресов в List1?