Страница 1 из 1
Как защититься по портам? Что происходит?
Добавлено: 04 ноя 2019, 14:40
danik84
Здравствуйте.
Уже неделю от Firewall приходят сообщения, что с одного и того же IP есть попытки поключиться по портам.
Может кто-то объяснить, что происходит, и как заблокировать такие подключение на корню?
Вот примеры:
Re: Как защититься по портам? Что происходит?
Добавлено: 04 ноя 2019, 14:55
xvo
Кто-то пытается подключиться по вашим портам.
Открыты они или закрыты, это только вы знаете.
Но так как в логе вообще есть эти сообщения, значит какое-то правило в firewall'е их таки отлавливает и обрабатывает, а вот сбрасывает или нет - посмотрите.
Что в вашем понимании на корню?
Добавьте этот адрес в список и создайте правило, которое будет все обращения с этого списка сбрасывать где-нибудь пораньше.
А вообще, наличие белого ip налагает некоторые требования к компетенции администратора.
Почитайте что-нибудь на тему, как правильно организовать firewall на микротике: с автоматической блокировкой адресов, с которых идет подозрительная активность, защитой от перебора портов, DDoS'а, SYN-flood'а и т.д.
Не обязательно всё из этого сразу к себе внедрять, особенно если подобные атаки единичны, но быть в курсе, как всё это быстро сделать, в случае необходимости - надо.
Точно так же, как и понимать базовые принципы работы firewall'а.
Re: Как защититься по портам? Что происходит?
Добавлено: 04 ноя 2019, 15:17
danik84
xvo писал(а): ↑04 ноя 2019, 14:55
Кто-то пытается подключиться по вашим портам.
Открыты они или закрыты, это только вы знаете.
Но так как в логе вообще есть эти сообщения, значит какое-то правило в firewall'е их таки отлавливает и обрабатывает, а вот сбрасывает или нет - посмотрите.
Что в вашем понимании на корню?
Добавьте этот адрес в список и создайте правило, которое будет все обращения с этого списка сбрасывать где-нибудь пораньше.
А вообще, наличие белого ip налагает некоторые требования к компетенции администратора.
Почитайте что-нибудь на тему, как правильно организовать firewall на микротике: с автоматической блокировкой адресов, с которых идет подозрительная активность, защитой от перебора портов, DDoS'а, SYN-flood'а и т.д.
Не обязательно всё из этого сразу к себе внедрять, особенно если подобные атаки единичны, но быть в курсе, как всё это быстро сделать, в случае необходимости - надо.
Точно так же, как и понимать базовые принципы работы firewall'а.
Спасибо за оперативный ответ. )
Меня смутило содержание ответа от firewall в логе. Ранее такого не было. Обычно идет какой-то банальный брутфорс с подбором паролей. Но такого рода подключения вижу впервые.
Я добавил в начало списка firewall drop на IP, который пытается подключиться, но это не помогает. Не могу понять в чем дело. Не хватает знаний и опыта.
Как правильно дропнуть попытку такого подключения?
Re: Как защититься по портам? Что происходит?
Добавлено: 04 ноя 2019, 15:31
xvo
Так а почему вы решили, что они не дропаются? У вас в правиле стоит галка log=yes, поэтому вы видите в логе сообщение, что правило отработало.
Если у вас это drop правило, то просто снимите эту галку, пусть сбрасываются по-тихому и все.
Re: Как защититься по портам? Что происходит?
Добавлено: 04 ноя 2019, 15:53
danik84
xvo писал(а): ↑04 ноя 2019, 15:31
Так а почему вы решили, что они не дропаются? У вас в правиле стоит галка log=yes, поэтому вы видите в логе сообщение, что правило отработало.
Если у вас это drop правило, то просто снимите эту галку, пусть сбрасываются по-тихому и все.
Спасибо большое. Такие глупые вопросы, из-за незнания большей части матчасти ))
Теперь понятно.