firewall duvida

Boa Noite, comecei a estudar um pouco sobre firewal porque tenho enfrentado alguns problemas de ataque, mas tem um que persiste e não sei o que fazer.
Tenho um servidor voip dentro da rede ele tem o fail2ban com um lista gigante já nele ai ai blz

mas no mikrotik fica um lista enorme de conexões inclusive com estabelshid sempre que bloquei retorna com outro ip, ante o ataque era na porta 53 ai bloquei mas nesse caso não posso bloquear a porta 5060 nem posso limitar os acesso a ip específicos pois muda constantemente que ideia vocês me dariam?.

outra coisa é ataque a ip's que pertence ao meu range de ip validos mas que não foram atribuídos a ninguém mesmo assim até conexão estabelecida aparece, chega a ter mais de 2 mil conexões.
Anexo 62901

Consegue ser mais específico nesse problema, como tirou a conclusão que seria um ataque?
Se vocÊ fizer um torch ele pode buscar protocolos utilizados pela rede inteira.

Consegue passar maiores informações aqui, para podermos tentar te ajudar.

Permita apenas seus serviços no menu ip firewall filter rules e bloqueia o resto mas definindo por onde esta entrando ou seja input e qual interface de entrada ou seja in interface, depois disso bloqueia tudo.
Vc pode tambem permitir apenas conexões estabelecidas antes de bloquear tudo.

Citação:

---

Postado originalmente por deson00

Permita apenas seus serviços no menu ip firewall filter rules e bloqueia o resto mas definindo por onde esta entrando ou seja input e qual interface de entrada ou seja in interface, depois disso bloqueia tudo.
Vc pode tambem permitir apenas conexões estabelecidas antes de bloquear tudo.

---

Ele não pode fazer isso. Visto que muitos serviços da web principalmente emails precisam realizar consulta reversa se ele realizar isso ele terá problemas com lentidão absurda na rede. E erros de envio e recebimento de emails.

Enviado via GT-I9515L usando UnderLinux App

@rimaraujo Mesmo liberando as portas de serviços que ele usa, por acha que teria problemas ?

Muitos serviços farão requisições externas em outras portas no ip dele. Para verificar se o ip dele realmente é dono da requisição. Se ele bloquear a consulta reversa não vai ter êxito vai dar timeout e muitas coisas não funcionarão.

Desculpe a demora em responder,
Então o problema maior é que ja coseguiram descobrir login e senha de um ramal voip, e sentaram o ferroa ligar, me custou pouco cerca de 200 reias.

mas vamos lá melhor no meu servidor voip ele mostra as tentativas de login no ramal por força bruta, dai instalei o fail2ban, muito bom por sinal.

com isso acabou as tentativas de login, mas ai no firewall ainda fica uma lista de ip vindo de todolugar do mundo, china, faixa de gaza, russia, lugar bom gente boa e nenhum problema iminente por roubo ou invasão, essa é minha maior preocupação usar minha rede pra cometer crimes, até explicar que fucim de proco não é tomada ja éra.

minas duvidas são as seguintes,

no firewall coenctions aparece todas as conexões e o statos das mesmas.

algumas aparecem como estabelecidas outras nãos outas so com SAC, algums ips eu derrubo e ele volta, eu coloca ele em black list bloqueando input, out e forward, e mesmo assim ele volta nessa lista, não era pra ele nem entrar na lista, o tempo de conexões fica as vezes de 24 horas, queria bloquear e matar pra nem aparecer na lista de conexões.

Citação:

---

Postado originalmente por fmcjunior

Desculpe a demora em responder,
Então o problema maior é que ja coseguiram descobrir login e senha de um ramal voip, e sentaram o ferroa ligar, me custou pouco cerca de 200 reias.

mas vamos lá melhor no meu servidor voip ele mostra as tentativas de login no ramal por força bruta, dai instalei o fail2ban, muito bom por sinal.

com isso acabou as tentativas de login, mas ai no firewall ainda fica uma lista de ip vindo de todolugar do mundo, china, faixa de gaza, russia, lugar bom gente boa e nenhum problema iminente por roubo ou invasão, essa é minha maior preocupação usar minha rede pra cometer crimes, até explicar que fucim de proco não é tomada ja éra.

minas duvidas são as seguintes,

no firewall coenctions aparece todas as conexões e o statos das mesmas.

algumas aparecem como estabelecidas outras nãos outas so com SAC, algums ips eu derrubo e ele volta, eu coloca ele em black list bloqueando input, out e forward, e mesmo assim ele volta nessa lista, não era pra ele nem entrar na lista, o tempo de conexões fica as vezes de 24 horas, queria bloquear e matar pra nem aparecer na lista de conexões.

---

Se você é ASN você consegue bloquear por comunits porém se você é mais uma empresa que pega um link dsl ou link de alguma outra empresa, você não consegue segurar fazer nada. Visto que a seção do histórico ao seu destino já foi encontrada o mundo já sabe onde você está não existe forma que você faça para barrar isso a não ser barrando no borda.
A seção está ativa você vai continuar receber os pacotes do determinado hosting e você está bloqueando ou seja. O seu firewal recebe o pacote e depois fala agora eu bloqueio. Ou seja a conexão chegou no destino.

Citação:

---

Postado originalmente por rimaraujo

Se você é ASN você consegue bloquear por comunits porém se você é mais uma empresa que pega um link dsl ou link de alguma outra empresa, você não consegue segurar fazer nada. Visto que a seção do histórico ao seu destino já foi encontrada o mundo já sabe onde você está não existe forma que você faça para barrar isso a não ser barrando no borda.
A seção está ativa você vai continuar receber os pacotes do determinado hosting e você está bloqueando ou seja. O seu firewal recebe o pacote e depois fala agora eu bloqueio. Ou seja a conexão chegou no destino.

---

mas isso não quer dizer que ele chegou até o servidor que esta atrás do firewall, isso quer dizer que ele parou no firewall se é isso então beleza, era só isso mesmo que queria saber.