giver 0 Zgłoś post Napisano Sierpień 31, 2009 Śr. parę razy na godz. ktoś z Rosji skanuje mi porty, dokładnie 445 i 135, oczywiście zdażają się inne, ale te najczęściej. Metoda to TCP SYN. Kończy się tylko na tym - twierdze tak na podstawie analizy logów innych usług Czy ktoś miał problem z tym bootem? Czy tylko skanuje porty czy próbuje później dostać się do serwera? Próbowałem wyciąć od razu całą klasę, ale za każdym razem jest adres IP z innej klasy. A może pozwolić tylko na ruch z Polski? Strona i tak przeznaczona tylko praktycznie dla Polaków - co o tym sądzicie? Udostępnij ten post Link to postu Udostępnij na innych stronach
guziec 109 Zgłoś post Napisano Sierpień 31, 2009 Śr. parę razy na godz. ktoś z Rosji skanuje mi porty, dokładnie 445 i 135, oczywiście zdażają się inne, ale te najczęściej. Metoda to TCP SYN. Kończy się tylko na tym - twierdze tak na podstawie analizy logów innych usług Czy ktoś miał problem z tym bootem? Czy tylko skanuje porty czy próbuje później dostać się do serwera? Próbowałem wyciąć od razu całą klasę, ale za każdym razem jest adres IP z innej klasy. A może pozwolić tylko na ruch z Polski? Strona i tak przeznaczona tylko praktycznie dla Polaków - co o tym sądzicie? Fail 2 Ban. http://www.fail2ban.org/wiki/index.php/Main_Page Działa doskonale. Udostępnij ten post Link to postu Udostępnij na innych stronach
misioN 7 Zgłoś post Napisano Wrzesień 9, 2009 Dokładnie fail2ban Tutaj masz link do konfiguracji: http://www.omnicom.pl/?tag=w00tw00t Udostępnij ten post Link to postu Udostępnij na innych stronach
misioN 7 Zgłoś post Napisano Wrzesień 9, 2009 Nie mogłem edytować masz tutaj pare regułek do iptables # Metoda ACK (nmap -sA) iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie ACK" iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP # Skanowanie FIN (nmap -sF) iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie FIn" iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP # Metoda Xmas Tree (nmap -sX) iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie Xmas Tre" iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP # Skanowanie Null (nmap -sN) iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie Null" iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP # Lancuch syn-flood (obrona przed DoS) iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 #-j LOG --log-level debug --log-prefix "SYN-FLOOD: " iptables -A syn-flood -j DROP iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT Udostępnij ten post Link to postu Udostępnij na innych stronach
