Alucard_AT Posted May 17, 2024 Posted May 17, 2024 Постоянно стучаться с нескольких разных ip. Поднят VPN - сервер PPTP для сервака 1с и постоянно кто-то стучится на него левые ip. Пример: [I] May 17 14:36:27 ndhcps: sending ACK of 192.168.1.221 to 52:90:34:7a:e4:3f. [I] May 17 14:36:50 ppp-pptp: pptp: new connection from 104.255.69.246 [I] May 17 14:36:50 ppp-pptp: ppp2:: connect: ppp2 <--> pptp(104.255.69.246) [W] May 17 14:36:51 ppp-pptp: ppp2:: mschap-v2: user not found [E] May 17 14:36:51 ppp-pptp: ppp2:admin: admin: authentication failed [I] May 17 14:36:51 ppp-pptp: ppp2:: pptp: disconnected Как от таких избавиться? Quote
Migel Posted May 17, 2024 Posted May 17, 2024 (edited) https://help.keenetic.com/hc/ru/articles/360000578240-Межсетевой-экран https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7 Edited May 17, 2024 by Migel 1 Quote
KeyYerS Posted May 17, 2024 Posted May 17, 2024 (edited) @Migel Что мешает организовать команду в прошивке роутера, которая вместе с прогрузкой и согласованием текущего времени по NTP с серверов кинетика "тянул" бы бан-лист, с изначально "собранным" списком вредоносных сеток, инициирующих атаки брутфорса и прочего, да и дополнять который поможем мы сами, просто "пробивая" ip по whois и присылая его на какой-либо адрес почты ТП кинетиков? Edited May 17, 2024 by KeyYerS Quote
Migel Posted May 18, 2024 Posted May 18, 2024 (edited) 16 часов назад, KeyYerS сказал: @Migel Что мешает организовать команду в прошивке роутера, которая вместе с прогрузкой и согласованием текущего времени по NTP с серверов кинетика "тянул" бы бан-лист, с изначально "собранным" списком вредоносных сеток, инициирующих атаки брутфорса и прочего, да и дополнять который поможем мы сами, просто "пробивая" ip по whois и присылая его на какой-либо адрес почты ТП кинетиков? Потому что нет такого списка и быть не может. Занесет кто нибудь в этот список IP адрес с которого вы подключаетесь к своему PPTP серверу и все. Единственный вариант это как-то прикрутить списки адресов Geo IP. Такая возможность например присутствует в межсетевых экранах Zyxel. Например мне бы хотелось разрешить доступ к роутеру снаружи только с российских ip адресов. Для всех остальных запретить. Edited May 18, 2024 by Migel 1 Quote
KeyYerS Posted May 18, 2024 Posted May 18, 2024 (edited) 3 часа назад, Migel сказал: Занесет кто нибудь в этот список IP адрес Что или кто мешает это реализовать? Технически это возможно. Было бы желание у ТП или разработчиков cloud'а. Реализация желаемого на уровне роутера - это не устранение причины, а борьба с последствиями /причём бесконечная с учётом внедрения ipv6/. Запрет по Geo IP спискам (всем кроме РФ/СНГ) нужно делать централизованно, на стороне cloud'а - зловреды пытаются использовать лень покупателей, даже не изменивших деф логин/пароль на роутере, либо с "простым" легкоподбираемым паролем. Ну если Вы с этого ip хулиганите в сторону чужих роутеров - Вам в бан. Edited May 18, 2024 by KeyYerS Quote
KeyYerS Posted May 18, 2024 Posted May 18, 2024 3 часа назад, Migel сказал: прикрутить списки адресов Geo IP просто создав сервис на cloud'е, на котором будет реализована давно бесплатная фича собратьев из Zyxel'я, к которому /при включенной пользователем галочке/ роутер обращается /после прогрузки либо регулярно/ за бан-списком, автоматом формируя в роутере правило блокировки "не РФ/СНГ сегмента" ip-адресов. Тогда вопрос по какому-либо (возможно ошибочно) забаненному ip можно решать через ТП или отдельный канал связи с разработчиками. Quote
KeyYerS Posted May 18, 2024 Posted May 18, 2024 (edited) На стороне роутера такое лепить только "ручками" - 9346 сегментов типа "93.158.128.0-93.158.130.251", поскольку даже <LITE FREE GEO-IP> отсюда lite.ip2location.com (только IPv4 версия) уже почти 12 Мб "весом". А простой текстовик с этим же списком - 258 кб. Поэтому правило выглядит так: "в бан всех, кроме РФ/СНГ", сегменты адресов которые указаны в "подтянутом списке" (перечислением). Edited July 9, 2024 by KeyYerS Quote
Alucard_AT Posted May 20, 2024 Author Posted May 20, 2024 В 17.05.2024 в 17:13, Migel сказал: https://help.keenetic.com/hc/ru/articles/360000578240-Межсетевой-экран https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7 Спасибо. Занёс ip в запрещающие правила. Тестирую. 3 часа полёт нормальный. В логах не отображается, но и так понятно, что заблокированные ip не могут достучаться. До того, как создал правила, стучали каждые две минуты. Заносил все из журнала, их было не так уж и много. Quote
Migel Posted May 20, 2024 Posted May 20, 2024 1 час назад, Alucard_AT сказал: Спасибо. Занёс ip в запрещающие правила. Тестирую. 3 часа полёт нормальный. В логах не отображается, но и так понятно, что заблокированные ip не могут достучаться. До того, как создал правила, стучали каждые две минуты. Заносил все из журнала, их было не так уж и много. Лучше запрещать не конкретный IP, а всю сеть, в которую входит этот адрес. Проверив тут http://www.whois-service.ru/lookup/ 1 Quote
KeyYerS Posted May 20, 2024 Posted May 20, 2024 6 часов назад, Alucard_AT сказал: их было не так уж и много Конкретно к Вам которые "ломились"? Раздобыл список бан-листа - 9346 "диапазонов" IPv4. Вот кумекаю - влезет ли? Quote
Alucard_AT Posted May 21, 2024 Author Posted May 21, 2024 17 часов назад, KeyYerS сказал: Конкретно к Вам которые "ломились"? Раздобыл список бан-листа - 9346 "диапазонов" IPv4. Вот кумекаю - влезет ли? Да, которые ко мне ломились. 104.255.69.192 - один из таких ip. Quote
KeyYerS Posted May 21, 2024 Posted May 21, 2024 9 часов назад, Alucard_AT сказал: 104.255.69.192 - один из таких ip В списке бан-листа этого адреса нет. Там вот так ".....; 104.244.164.0-104.244.167.255; 107.150.93.0-107.150.93.255; ....." Блокируйте всю подсеть этих канадцив = 104.255.64.0 - 104.255.71.255 =. Quote
KeyYerS Posted August 10, 2024 Posted August 10, 2024 17.07 обращался в ИП за помощью по настройке запрещающих правил. Обрисовал проблему, предложил решение как у их собратьев ZyXel реализовано: Скрытый текст """ 1)) В связи с катастрофически возрастающими атаками ddos, bruteforce и прочими со стороны "недружелюбных" стран категорически востребован становится сервис на Вашем ресурсе, суть работы которого в следующем (как это уже реализовано у Ваших "младших" братьев в ZyXel): - на Ваших серверах размещается список ip-сетей, доступ из которых запрещается на роутеры Keenetic/ZyXel, любые порты-протоколы; - роутер периодически (настраиваемый параметр) после загрузки обращается к этому списку и одним правилом в своей конфигурации блокирует любые запросы с этих ip-сетей. Самостоятельное создание правил на роутере бесполезно, т.к. ограничено кол-вом создаваемых правил; а по данным сервиса GEO-IP одних только ipv4 сегментов сетей (источников атак) более 9000. 2))) - по п.1 - порт меняю на роутере с 80-го на "другой" (чаще на 8080) ещё на стадии настройки локально, до подключения роутера к паблик сети; огорчает, что нет возможности задавать "свой" порт, не из списка, который всем широко известен.....; - по п.2 - а какой в этом смысл? если роутер в момент загрузки задействует любой порт, какой бы я ни назначал, для проверки соединения, "стучась" на три ресурса: ya.ru, vk.com и youtube.com именно по этому порту (хоть 443, хоть 8443)? А типа на "той" стороне запроса роутера никому типа не видно - откуда и через какой порт приходит запрос? Типа ИИ такое "не под силу"? -- И кстати: в связи с предстоящими блокировками "ихтуба", регулярными взломами "воконтакте", и продажей "тындекса" - может есть смысл проверку адресовать на созданную Вами "площадку"? Чисто для запрета аналитики поступающих запросов от роутеров... Чтобы данные вообще не "утекали" на сторонние ресурсы? - по п.3 - сразу возникает вопрос: а для чего тогда мне настраиваемый и управляемый роутер, если мне нельзя использовать правила переадресации, службу Upnp? - по п.4 - "местечковые" провайдеры в городах 3-ей категории и ниже (с населением в 40-150 т/человек) даже не вникают в систему защиты клиентов - в самом наилучшем случае дают "белый" ip, а в большинстве - "серый"... - по п.5 - даже этот запрет не прекращает попытки взломать роутер - в мониторе "Активных соединений" постоянно (иногда до двух-трёх десятков) подключения на лок адрес роутера по 80, 443 и другим портам - а это нагрузка на роутер, замедляющая его работу для "своих" клиентов. "Отслеживание" зловредов можно организовать просто и даже на Вашей стороне - сделайте отдельно вирт стенд с разными моделями/прошивками/провайдерами, не публикуя его нигде - включите логирование подключений к роутерам - за одну-две недели "выловите" всех... Да и мы, активные пользователи и зарегистрированные участники форума, заинтересованные в чистоте "паблик инета" регулярно Вам присылали бы ip таких вредителей для пополнения такого списка. Напомню, что Ваши "младшие" коллеги в компании ZyXel реализовали этот сервис для своего оборудования. Как уж у них это получилось без возрастания нагрузки , да ещё и одним правилом - просто "Вкл" галочку в настройках.... 3))) "Галочка одна, но по сути придется проверять адрес источника на соответствие всем возможным адресам злоумышленников." - именно об этом я Вам и пишу: доступ к конкретному роутеру "идёт" через Ваши сервисы по доменному имени, так? Значит нужно (что будет являться устранением причины как таковой) на Вашей стороне и "поднять" этот МСЭ, /аналогия решения ZyXel/ который и будет отсекать целиком сегментами адреса зловредов (на стороне роутера это просто "латание дыр", т.е. борьба с последствиями). А "прямые тупые" попытки зловреда на "белый ip" роутера просто отсекаются правилом, блокирующим все возможные сети бессрочно (источник атаки, дважды сгенерировавший ошибку доступа) ... И мне кроме помощи ещё ответили: ""Решение с одной галочкой наметили к реализации. Скорее всего оно войдет в версию KeeneticOS 4.3."" 1 1 Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.