Уже неделю от Firewall приходят сообщения, что с одного и того же IP есть попытки поключиться по портам.
Может кто-то объяснить, что происходит, и как заблокировать такие подключение на корню?
Вот примеры:
Как защититься по портам? Что происходит?
-
danik84
- Сообщения: 3
- Зарегистрирован: 04 ноя 2019, 14:13
Здравствуйте.
Уже неделю от Firewall приходят сообщения, что с одного и того же IP есть попытки поключиться по портам.
Может кто-то объяснить, что происходит, и как заблокировать такие подключение на корню?
Вот примеры:
Уже неделю от Firewall приходят сообщения, что с одного и того же IP есть попытки поключиться по портам.
Может кто-то объяснить, что происходит, и как заблокировать такие подключение на корню?
Вот примеры:
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Кто-то пытается подключиться по вашим портам.
Открыты они или закрыты, это только вы знаете.
Но так как в логе вообще есть эти сообщения, значит какое-то правило в firewall'е их таки отлавливает и обрабатывает, а вот сбрасывает или нет - посмотрите.
Что в вашем понимании на корню?
Добавьте этот адрес в список и создайте правило, которое будет все обращения с этого списка сбрасывать где-нибудь пораньше.
А вообще, наличие белого ip налагает некоторые требования к компетенции администратора.
Почитайте что-нибудь на тему, как правильно организовать firewall на микротике: с автоматической блокировкой адресов, с которых идет подозрительная активность, защитой от перебора портов, DDoS'а, SYN-flood'а и т.д.
Не обязательно всё из этого сразу к себе внедрять, особенно если подобные атаки единичны, но быть в курсе, как всё это быстро сделать, в случае необходимости - надо.
Точно так же, как и понимать базовые принципы работы firewall'а.
Открыты они или закрыты, это только вы знаете.
Но так как в логе вообще есть эти сообщения, значит какое-то правило в firewall'е их таки отлавливает и обрабатывает, а вот сбрасывает или нет - посмотрите.
Что в вашем понимании на корню?
Добавьте этот адрес в список и создайте правило, которое будет все обращения с этого списка сбрасывать где-нибудь пораньше.
А вообще, наличие белого ip налагает некоторые требования к компетенции администратора.
Почитайте что-нибудь на тему, как правильно организовать firewall на микротике: с автоматической блокировкой адресов, с которых идет подозрительная активность, защитой от перебора портов, DDoS'а, SYN-flood'а и т.д.
Не обязательно всё из этого сразу к себе внедрять, особенно если подобные атаки единичны, но быть в курсе, как всё это быстро сделать, в случае необходимости - надо.
Точно так же, как и понимать базовые принципы работы firewall'а.
Telegram: @thexvo
-
danik84
- Сообщения: 3
- Зарегистрирован: 04 ноя 2019, 14:13
Спасибо за оперативный ответ. )xvo писал(а): ↑04 ноя 2019, 14:55 Кто-то пытается подключиться по вашим портам.
Открыты они или закрыты, это только вы знаете.
Но так как в логе вообще есть эти сообщения, значит какое-то правило в firewall'е их таки отлавливает и обрабатывает, а вот сбрасывает или нет - посмотрите.
Что в вашем понимании на корню?
Добавьте этот адрес в список и создайте правило, которое будет все обращения с этого списка сбрасывать где-нибудь пораньше.
А вообще, наличие белого ip налагает некоторые требования к компетенции администратора.
Почитайте что-нибудь на тему, как правильно организовать firewall на микротике: с автоматической блокировкой адресов, с которых идет подозрительная активность, защитой от перебора портов, DDoS'а, SYN-flood'а и т.д.
Не обязательно всё из этого сразу к себе внедрять, особенно если подобные атаки единичны, но быть в курсе, как всё это быстро сделать, в случае необходимости - надо.
Точно так же, как и понимать базовые принципы работы firewall'а.
Меня смутило содержание ответа от firewall в логе. Ранее такого не было. Обычно идет какой-то банальный брутфорс с подбором паролей. Но такого рода подключения вижу впервые.
Я добавил в начало списка firewall drop на IP, который пытается подключиться, но это не помогает. Не могу понять в чем дело. Не хватает знаний и опыта.
Как правильно дропнуть попытку такого подключения?
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Так а почему вы решили, что они не дропаются? У вас в правиле стоит галка log=yes, поэтому вы видите в логе сообщение, что правило отработало.
Если у вас это drop правило, то просто снимите эту галку, пусть сбрасываются по-тихому и все.
Если у вас это drop правило, то просто снимите эту галку, пусть сбрасываются по-тихому и все.
Telegram: @thexvo
-
danik84
- Сообщения: 3
- Зарегистрирован: 04 ноя 2019, 14:13
Спасибо большое. Такие глупые вопросы, из-за незнания большей части матчасти ))
Теперь понятно.
