Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Миркотик. Блокировка сканирующих. Как?

03.04.2020 21:07


30.05.2018 16:17
KirillHome
 
За микротиком стоит сервер Windows 2008
На микротике в правилах указано - "при обращении по порту №№№ отправить пакеты на порт 3389 на адрес сервера Windows".

Вчера на сервере запустил TcpLogView - вижу, что с 20 IP с разной степенью регулярности идёт сканирование.
Хочу заблокировать вообще эти IP, а не только на forwarding по этому порту №№№.
Как?

Сразу говорю - да, я знаю, что правильнее всем, что имеет права подключения - настроить VPN.
Пока не дошли руки (и когда дойдут - не знаю).
30.05.2018 16:26
OlegON
 
Принцип достаточно простой. Создаешь сначала какой-то список адресов Address list.
Создаешь правило Firewall, которое блокирует нужные тебе направления для адресов из этого списка.
Создаешь правило, которое при попытке обратиться на ненужный тебе порт добавляет IP-источник в список.
Вноси в список ненужных портов 22, 3128, 3389. Это основное, что сканят умельцы. Еще и рядом с №№№ сделай несколько ловушек.
30.05.2018 16:28
OlegON
 
Задавай вопросы, если появятся. У меня пока ROS далеко.
Цитата:
KirillHome TcpLogView
В Микротике есть Torch, например.
30.05.2018 17:20
KirillHome
 
Цитата:
OlegON Создаешь правило Firewall, которое блокирует нужные тебе направления для адресов из этого списка.
Дык, я хотел при любом обращении на МойIP (или МойIP : любой порт) - сразу посылать "их в лес".
И вот этого то я и не соображу
30.05.2018 17:29
OlegON
 
Я что-то торможу. Ты хочешь их по готовому списку адресов-источников оформить?
Или просто по признаку "открыл кучу портов быстро"? По сканерам портов есть решение
Но мне такое не нравится, поскольку в ряде случаев из-за глюков софта или плохого канала случаются ложные срабатывания.
Лучше банить за обращения к конкретным портам. В любом случае типовой сканер портов названые мной зацепит.
30.05.2018 17:35
KirillHome
 
Я выяснил за сутки 18 IP с частотой обращения от 20 до 6000
Хочу (пока) сделать из них "Чёрный список" (собственно, сделал)
Код:
ip firewall address-list add address=112.175.114.25 comment=2018-05-30 list=Blacklist
ip firewall address-list add address=116.211.106.45 list=Blacklist
ip firewall address-list add address=122.227.15.226 list=Blacklist
ip firewall address-list add address=178.159.36.244 list=Blacklist
ip firewall address-list add address=183.110.79.162 list=Blacklist
ip firewall address-list add address=183.110.79.224 list=Blacklist
ip firewall address-list add address=185.8.126.240 list=Blacklist
ip firewall address-list add address=195.62.52.54 list=Blacklist
ip firewall address-list add address=221.228.109.184 list=Blacklist
ip firewall address-list add address=42.236.64.116 list=Blacklist
ip firewall address-list add address=61.175.226.180 list=Blacklist
ip firewall address-list add address=80.255.80.94 list=Blacklist
ip firewall address-list add address=81.7.95.6 list=Blacklist
ip firewall address-list add address=82.112.189.175 list=Blacklist
ip firewall address-list add address=86.110.118.90 list=Blacklist
Дальше ставлю два правила:
Код:
ip firewall filter add action=drop src-address-list=Blacklist chain=forward
ip firewall filter add action=drop src-address-list=Blacklist chain=input
Для начала (своей задачи) - прав?
30.05.2018 17:45
OlegON
 
Да, только ты не представляешь себе масштаб и количество сканирующих.
Потому я предпочитаю это руками только мониторить, да и то, максимально автоматизируя для выявления отклонений от нормы. Чего и тебе советую.
Краем глаза вижу журнал, вот, за последние 10 минут...
Цитата:
May 30 17:32:58 WARNING: Host 191.102.96.214 BANNED for access to 22
May 30 17:37:56 WARNING: Host 112.78.152.35 BANNED for access to 22
May 30 17:40:30 WARNING: Host 115.238.245.4 BANNED for access to 22
May 30 17:40:52 WARNING: Host 103.79.143.89 BANNED for access to 22
И по твоему варианту - нагрузи максимально коробочку, да посмотри в Resources, чтобы не было 100% нагрузки. Если есть - поставь еще условий на фильтр, чтобы не все пакеты обрабатывались.
30.05.2018 17:53
KirillHome
 
Судя по результату - не прав (или эти правила на drop надо ставить выше).
30.05.2018 18:00
KirillHome
 
Заработало только когда в NAT поставил Src. Address List != Blacklist

Но это не совсем тот вариант, которого я хотел достичь.
Я, конечно, пройдусь по всем правилам в NAT и подправлю в них это (благо правил не много), но хотел другого результата.
30.05.2018 18:15
OlegON
 
А, я визуально только оцениваю, правило надо не в Filter пихать, а в Mangle, prerouting.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.