Re: Estão tentando invadir meu servidor???
Olá jilianocg, obrigado pela ajuda, o problema é que ataque vem de vários ip´s aleátorios.
Será que o unico jeito e aguardar a boa vontade do atacante?
Desde já agradeço
Re: Estão tentando invadir meu servidor???
Citação:
Postado originalmente por
Diangellys
Olá jilianocg, obrigado pela ajuda, o problema é que ataque vem de vários ip´s aleátorios.
Será que o unico jeito e aguardar a boa vontade do atacante?
Desde já agradeço
Então, como está sendo filtrado, você não tem com o que se preocupar...
Estão tentando identificar alguma porta aberta em seu sistema, provavelmente com algum port scanner, com NMAP talves!
Pelos números de IP's já da para saber de onde origina o port scanner (interno ou externo), mas pelo que pude ver, tem até IP do exterior ali!
Provavelmente depois de diversas tentativas sem exito, irão desistir!
Não existe nada 100% seguro...
Uma dica...
vá em ip -> firewall -> Connections e clique no botão Tracking, deixe o "Enable" marcado e lá embaixo o "syn flood" também...
Não estou com acesso as minhas RB's aqui neste momento, mas pelo que me lembro, é este o caminho...
Também daria para vc trabalhar adicionando estes IPS automaticamente em addres list, e bloqueando.
Derre pente surge alguma outra ideia de alguém mais capacitado aqui do fórum!
Vamos mantendo contato...
Re: Estão tentando invadir meu servidor???
jilianocg, teria como ve me postar a regra para adiconar os ip´s na address list automaticamente..
Desde já agradeço
Re: Estão tentando invadir meu servidor???
Citação:
Postado originalmente por
Diangellys
jilianocg, teria como ve me postar a regra para adiconar os ip´s na address list automaticamente..
Desde já agradeço
Estava olhando as configurações de seu firewall acima, e vc já esta adicionando ao addres list...
Citação:
Postado originalmente por
Diangellys
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment=\
"Port scanners to list ##### Protege o Router para portas scanners" \
disabled=no protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
disabled=no protocol=tcp
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/FIN scan" disabled=no \
protocol=tcp
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/RST scan" disabled=no \
protocol=tcp
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" disabled=no \
protocol=tcp
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="ALL/ALL scan" disabled=no \
protocol=tcp
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP NULL scan" disabled=no \
protocol=tcp
add action=drop chain=input comment="dropping port scanners" disabled=no \
src-address-list="port scanners"
Verifique na aba addres list de seu MK se existe algum IP marcado com este nome "port scanners"
Re: Estão tentando invadir meu servidor???
Dei uma olhada e não tem nada no addresslist.
Desde já agradeço