Ban remote host for 15 minutes.

[ПавелП]

Добрый день. Не знаю куда написать, поэтому тут пишу.
Столкнулся со следующей ситуацией:
Два офиса, в одном установили Netcraze Hopper и к нему подключили usb-диск. Этот офис подключается к нему как обычно по сети \\192.168.1.1\...
А второй офис сделали подключение к нему по webdav. И вроде работает, но периодически диск отваливается. Посмотрели логи, а в них это:
[I] Apr 25 14:27:11 ndm: Netfilter::Lockout::Manager: "Http": ban remote host хх.хх.хх.хх for 15 minutes. 
И через 15 минут:
[I] Apr 25 14:42:10 ndm: Netfilter::Lockout::Manager: "Http": unban remote host хх.хх.хх.хх 
Само собой после разбана доступ у второго офиса появляется. На время.
В чем может быть причина? Как побороть?
Уже такие вопросы задавали пару лет назад, но ответа на них так и не последовало.
Понял уже что webdav не лучший вариант для такого, но пока так.

[Leshiyart]

[ПавелП]

Суть понял, но не понимаю причем тут попытки перебора пароля? Я сам настраивал 4 пк во втором офисе. Сам вводил пароли и доступ на всех пк работает, пока не перестанет. Потом снова на всех работает.
Можете пояснить  свою мысль?

[keenet07]

Ну второй офис подключается к этому webdav с одного внешнего адреса? Вот кто-то с той стороны несколько раз не правильно вводит пароль, срабатывает защита от перебора и все ваши 4 ПК не имеют доступа пока не разбанится IP.  Выясняйте, кто, как и откуда это делает.

[ПавелП]

15 минут назад, keenet07 сказал:

Ну второй офис подключается к этому webdav с одного внешнего адреса? Вот кто-то с той стороны несколько раз не правильно вводит пароль, срабатывает защита от перебора и все ваши 4 ПК не имеют доступа пока не разбанится IP.  Выясняйте, кто, как и откуда это делает.

Я же пишу, что я настраивал. Никто не вводит пароли. К тому же в журнале нет записей типа:
Core::Authenticator: user "admin": invalid password. 

Что еще: 

* на компах второго офиса учетка сохранилась в винде, но все равно спрашивает каждый раз при подключении, хоть и заполняет поля.
Нужно просто нажать ОК. Искал инфу - понял что это козни MS и исправить это нельзя.
* Сделал подключение диска по webdav через батник, что бы пароль хотя бы после загрузки не спрашивало при подключении.
Ошибок нет. Но документы Office при открытии из сетевой папки - все равно спрашивают логин пароль. Форма так же заполнена, нужно нажать ОК.

Другие файлы открываются норм.
Update: Прописал:
ip http log auth
system configuration save

Понаблюдаю.

Изменено 12 часов назад пользователем ПавелП

[keenet07]

Понятно, вы настраивали. Но это ведь чисто теоретически не мешает кому-то попытаться войти с другого компа в этом офисе (если таковые имеются). Или даже на любом из ваших настроенный в случае какой-то ошибки, может запросить пароль к ресурсу, а пользователь может просто нажать ОК с пустым паролем или попытаться что-то ввести.

 

ps: Причем подключиться могли пытаться не обязательно к webdav. Может быть в админку или к другому сервису на роутере, на которые распространяется эта защита.

Изменено 12 часов назад пользователем keenet07

[keenet07]

6 минут назад, ПавелП сказал:

Я же пишу, что я настраивал. Никто не вводит пароли. К тому же в журнале нет записей типа:
Core::Authenticator: user "admin": invalid password. 

Ну а что есть выше чем вот это 

[I] Apr 25 14:27:11 ndm: Netfilter::Lockout::Manager: "Http": ban remote host хх.хх.хх.хх for 15 minutes. 

[ПавелП]

Спойлер

[I] Apr 29 16:02:30 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 16:07:30 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 16:10:41 ndhcpc: GigabitEthernet0/Vlan4: received ACK for xx.xx.103.10 from xx.xx.64.1 lease 1800 sec. 
[I] Apr 29 16:12:30 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 16:22:30 ndhcpc: Core::Syslog: last message repeated 2 times.
[I] Apr 29 16:25:41 ndhcpc: GigabitEthernet0/Vlan4: received ACK for xx.xx.103.10 from xx.xx.64.1 lease 1800 sec. 
[I] Apr 29 16:27:30 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 16:37:31 ndhcpc: Core::Syslog: last message repeated 2 times.
[I] Apr 29 16:40:41 ndhcpc: GigabitEthernet0/Vlan4: received ACK for xx.xx.103.10 from xx.xx.64.1 lease 1800 sec. 
[I] Apr 29 16:42:31 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 16:52:31 ndhcpc: Core::Syslog: last message repeated 2 times.
[I] Apr 29 16:55:41 ndhcpc: GigabitEthernet0/Vlan4: received ACK for xx.xx.103.10 from xx.xx.64.1 lease 1800 sec. 
[I] Apr 29 16:57:31 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 17:07:31 ndhcpc: Core::Syslog: last message repeated 2 times.
[I] Apr 29 17:07:46 ndm: Netfilter::Util::Conntrack: flushed 2 IPv4 connections for {IP-второго-офиса}.
 
[I] Apr 29 17:07:46 ndm: Netfilter::Lockout::Manager: "Http": ban remote host {IP-второго-офиса} for 15 minutes. 

[I] Apr 29 17:10:41 ndhcpc: GigabitEthernet0/Vlan4: received ACK for xx.xx.103.10 from xx.xx.64.1 lease 1800 sec. 
[I] Apr 29 17:12:31 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 17:22:32 ndhcpc: Core::Syslog: last message repeated 2 times.

[I] Apr 29 17:22:46 ndm: Netfilter::Lockout::Manager: "Http": unban remote host {IP-второго-офиса}. 

[I] Apr 29 17:25:41 ndhcpc: GigabitEthernet0/Vlan4: received ACK for xx.xx.103.10 from xx.xx.64.1 lease 1800 sec. 
[I] Apr 29 17:27:32 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 17:32:32 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 17:34:19 ndm: Netfilter::Util::Conntrack: flushed 3 IPv4 connections for {IP-второго-офиса}. 

[I] Apr 29 17:34:19 ndm: Netfilter::Lockout::Manager: "Http": ban remote host {IP-второго-офиса} for 15 minutes. 

[I] Apr 29 17:37:32 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 17:40:41 ndhcpc: GigabitEthernet0/Vlan4: received ACK for xx.xx.103.10 from xx.xx.64.1 lease 1800 sec. 
[I] Apr 29 17:42:32 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 
[I] Apr 29 17:47:32 ndhcpc: GigabitEthernet1: received ACK for xx.xx.21.190 from xx.xx.21.1 lease 600 sec. 

[I] Apr 29 17:49:19 ndm: Netfilter::Lockout::Manager: "Http": unban remote host {IP-второго-офиса}.

Подсветил что заметил сейчас.

[keenet07]

Возможно что-то не нравится системе когда с одного IP адреса несколько сессий устанавливается. Два или три ПК лезут одновременно. Хотя дело может быть и не в этом. Проверять нужно.

Вероятно всё-таки что где-то происходит попытка входа с неверным паролем, например в другом браузере, где верный пароль не сохранен. Или ещё где-то. Не в курсе что у вас там настроено.

Изменено 11 часов назад пользователем keenet07