oi Arthur ja estou colocando eles no black list, mas sabe como é né ficamos com medo. pois vai saber ja faz uma semana que estão tentando.
kkk, cara do céu
no meu servidor tem tentativas de invasão diárias, coisa de louco, ips diferentes, da china estados unidos,
o segredo é por uma boa senha e um deixa que tentem.
Vou agregar mais uma opção, particularmente é a que eu uso, não mudo a porta padrão em nem faço blacklist, faço uma white list com os ips que eu considero ter permissão de acesso, e drop em todo o resto...
Alisson, pro processador, custa o mesmo processar e dropar um pacote na porta 22 ou na 2222, independente do serviço estar rodando ou não, o firewall intercepta antes de chegar ao serviço, então o custo é o mesmo, e vc ganha por ter um firewall mais enxuto, sem address-list cheia de ips.
Então, na verdade se tiver firewall, tmb não gera log, como falei acima, o firewall intercepta antes de chegar no servidor SSH, então não gera log independente da porta.
Faço ao seguinte aqui (de forma resumida): uso portas diferentes da padrão, desativo o que não uso e tudo que chega em determinados portas já jogo na blacklist por 40 dias.
Dessa forma, depois de cair na armadilha o cara não vai ter acesso a mais nada, nem mesmo ao serviço rodando na porta alternativa.
Monitoro as portas 21, 22, 25, 53, 8080, 3128, 3389, 5900.
No momento, essa address list já tem 4000 ips.
Essas regra bloqueiam o input e forward para hosts internos dos ips da lista negra. Ela deve ficar no início, na aba filter:
add action=drop chain=input comment="Drop input lista negra" in-interface=ether1 src-address-list=portscanner
add action=drop chain=forward comment="Drop FW lista negra" src-address-list=portscanner
Essa regra deve ficar no final das outras, também na aba filter, ela efetivamente jogas os ips na address list "portscanner":
add action=add-src-to-address-list address-list=portscanner address-list-timeout=5w5d chain=input comment="Adiciona src_adr para lista negra" dst-port=21-25,53,81,3128,3389,5900,8080 in-interface=ether1 protocol=tcp src-address-list=!trustee
Sendo ether1 onde chega seu link. Se for pppoe tem que selecionar a interface virtual pppoe.
Nessa address list "trustee" coloco ips para burlar esse bloqueio, como por exemplo ip fixo de algum local onde uso para acessar de fora, somente para evitar de fica trancado para fora por engano.
Não gosto muito de dar receita de bolo, por isso não inclui o /ip firewall filter, acho importante entender o que esta sendo feito.
Para testar é so usar o http://www.yougetsignal.com/tools/open-ports/ e primeiro testar a porta real do serviço. Vai dar open port. Depois vc colocar para testar a 22, por exemplo. Vai dar closed. Ai vc testa de novo, se der certo, vai dar closed na porta correta. É só conferir na address list que vai estar o ip do site lá.
Boa tarde, amigo estou postando aqui para vc se proteger com scaners que ficam rondando em sua rede é só setar nas interfaces.
http://eniomarcelobuza.blogspot.com.br/2012/06/bloqueando-port-scanners.html