Добрый день, есть настроенный проброс порта на rdp. Несколько раз в неделю этот порт начинают брутить, бывает реже.
Обычно либо скриптом либо руками добавляю адрес в блок лист и через firewall дропаю.
Все нормально работало, сегодня столкнулся с тем что трафик с определенного ip дропается, но вот логи все равно завалены обращениями на порт, раньше такого не было. Проверил логи rdp на сервер на который идет проброс, действительно до него трафик не доходит.
Но логи микротика заспамлены обращениями на порт. Ничего не обновлялось и не изменялось. Может я что-то упускаю. Прикладываю скрины
На скрине я даже добавил этот ip отдельный правилом, та же ситуация.
DROP rule работает, но логи завалены обращениями на порт
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.
-
- Сообщения: 10
- Зарегистрирован: 03 окт 2018, 12:53
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 10
- Зарегистрирован: 03 окт 2018, 12:53
в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Примерно это я и имел ввиду, не важно где, в фильтрах, или нате, но это последствия галочки, принцип работы которой предельно просто - если пакет прошел и подпал под правило, ака увеличил его счетчик и если стоит галочка, то в лог что-то вывалится. Возможно галочку поставили не специально и раньше ее не было? Потому что если бы она была и раньше, то и в логах бы у вас постоянно было что-то, причем поскольку это правило ната, как заметил xvo, то трафик обрабатывается этим правилом еще до фаервола, т.е. даже разрешенные адреса увеличивают счетчик правила и соответсвенно даже они попадают в лог.aleksandr.sn писал(а): ↑01 ноя 2018, 11:55в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Таблица RAW, цепочка prerouting.aleksandr.sn писал(а): ↑01 ноя 2018, 11:55в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста
Но это имеет смысл, если атака действительно сильно нагружает устройство.
Если нет, то перенеся дроп "раньше" firewall'а вы тем самым заставите весь траффик проверяться этим правилом, даже established и related, который скорее всего у вас в firewall разрешается сходу, не проходя остальные правила.
Иными словами: перенося что-то в raw вы чуть-чуть увеличиваете постоянную нагрузку, но сильно снижаете нагрузку от атаки.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw
Telegram: @thexvo
-
- Сообщения: 10
- Зарегистрирован: 03 окт 2018, 12:53
Спасибо за разъяснение!xvo писал(а): ↑01 ноя 2018, 12:22Таблица RAW, цепочка prerouting.aleksandr.sn писал(а): ↑01 ноя 2018, 11:55в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста
Но это имеет смысл, если атака действительно сильно нагружает устройство.
Если нет, то перенеся дроп "раньше" firewall'а вы тем самым заставите весь траффик проверяться этим правилом, даже established и related, который скорее всего у вас в firewall разрешается сходу, не проходя остальные правила.
Иными словами: перенося что-то в raw вы чуть-чуть увеличиваете постоянную нагрузку, но сильно снижаете нагрузку от атаки.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw
Галочка на логирование dst-nat порта у меня стояла всегда, когда начинался спам брутфорса в логах с одного ip, я этот ip заносил в blocklist, так вот после занесения в блоклист этот ip в логах больше не "мусорил". Вот удивлен что сейчас этого не произошло и ip продолжает мусорить.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Создайте правило, которое автоматом будет добавлять в лист, если с одного ip количество попыток подключений превышает порог.
Telegram: @thexvo
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
На Вашем скрине я заметил что тип записи это "disk", а должно обычно тип быть "memory"aleksandr.sn писал(а): ↑01 ноя 2018, 09:40 Но логи микротика заспамлены обращениями на порт. Ничего не обновлялось и не изменялось. Может я что-то упускаю. Прикладываю скрины
На скрине я даже добавил этот ip отдельный правилом, та же ситуация.
Зайдите в System-Logging и проверьте, там как выставлены критерии и настройки вообще?
Может в них дело....может Вы как-то давно режим дебага включили?