Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 1

первичная фильтрация входящего трафика

zeran

Ответ от zeran,

 Поделиться

Вопрос

zeran Новичок

zeran

Опубликовано
Опубликовано

Добрый день. Не нашел на форуме. Имею прямой ip и соответсвенно, несколько сервисов с пробросом портов за мой keenetic. Обратный прокси (nginx) срезает переборы паролей. но не умеет фильтровать источники запросов. Можно ли как то ограничить входящие по стране или ещё какому то близкому параметру, что бы боты из Китая и некоторых соседних стран не долбились?

  • Лайк 1

5 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
mrGhotius Поставщик контента

mrGhotius

Опубликовано
Опубликовано
2 часа назад, zeran сказал:

Добрый день. Не нашел на форуме. Имею прямой ip и соответсвенно, несколько сервисов с пробросом портов за мой keenetic. Обратный прокси (nginx) срезает переборы паролей. но не умеет фильтровать источники запросов. Можно ли как то ограничить входящие по стране или ещё какому то близкому параметру, что бы боты из Китая и некоторых соседних стран не долбились?

https://support.keenetic.ru/eaeu/hopper/kn-3810/ru/15597-firewall.html

  • 0
MDP Старожил

MDP

Опубликовано
Опубликовано
3 часа назад, zeran сказал:

Добрый день. Не нашел на форуме. Имею прямой ip и соответсвенно, несколько сервисов с пробросом портов за мой keenetic. Обратный прокси (nginx) срезает переборы паролей. но не умеет фильтровать источники запросов. Можно ли как то ограничить входящие по стране или ещё какому то близкому параметру, что бы боты из Китая и некоторых соседних стран не долбились?

На некоторые сервисы есть защита от брутфорса ...они настраиваются 

https://help.keenetic.com/hc/ru/articles/115000400185-Функция-защиты-от-перебора-паролей-для-доступа-к-интернет-центру

  • 0
hhrhhr Новичок

hhrhhr

Опубликовано
Опубликовано (изменено)

Такая же беда, белый IP, пробросом портов не пользуюсь, но включён мобильный клиент и KeeDNS с кучей доменов 4 уровня. Компонент "захват пакетов" по фильтру "dst host IP-ADDRESS and (dst port 80 or dst port 443)" фиксирует 10-20 тысяч соединений в час.
Если наблюдать за монитором соединений, то отмечается одиночное соединение на 80 порт, затем сотня-другая соединений на 443 порт. Встроенные lockout-policy не фиксируют перебора паролей к веб-интерфейсу, захват пакетов при анализе в Wireshark не показывает обращений по доменному имени, однако эти соединения бесят неимоверно.

Если начать блокировать встроенным брандмауэром целыми подсетями, то это спасает на час-другой. Потом просто меняются адреса этих любознательных ресурсов. Второе вложение — список подсетей за пару часов ручного блокирования...

Вариантов вижу два:

  1. Установить через OPKG iptables и ipset, затем ручками добавлять подсети в список ipset и банить через iptables. Ессно, нужно сохранять эти списки и загружать их при включении маршрутизатора
  2. Создать белый список в брандмауэре для доступа к 80/443 только нужных внешних ресурсов. Но тут нужно знать диапазоны сетей самого Кинетика, служб мобильного клиента, RMM, ну и адреса, через которые работает сам KeeDNS (получение/продление SSL-сертификата и тд).

От отчаяния уже перестал использовать KeeDNS по назначению, для доступа к ресурсам локальной сети использую исключительно Wireguard.

 

ipset_block_wan.txt

Opera Снимок_2025-05-03_195526_192.168.1.1.png

Изменено пользователем hhrhhr
  • Лайк 1
  • 0
FLK NetFriend

FLK

Опубликовано
Опубликовано (изменено)
9 минут назад, hhrhhr сказал:

Такая же беда, белый IP, пробросом портов не пользуюсь, но включён мобильный клиент и KeeDNS с кучей доменов 4 уровня. Компонент "захват пакетов" по фильтру "dst host IP-ADDRESS and (dst port 80 or dst port 443)" фиксирует 10-20 тысяч соединений в час.
Если наблюдать за монитором соединений, то отмечается одиночное соединение на 80 порт, затем сотня-другая соединений на 443 порт. Встроенные lockout-policy не фиксируют перебора паролей к веб-интерфейсу, захват пакетов при анализе в Wireshark не показывает обращений по доменному имени, однако эти соединения бесят неимоверно.

Если начать блокировать встроенным брандмауэром целыми подсетями, то это спасает на час-другой. Потом просто меняются адреса этих любознательных ресурсов.

 

Да, это тоже меня подбешивает, но у меня не в таких масштабах)

 

Изменено пользователем FLK

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю