+ Responder ao Tópico



  1. 05-10-2012, 09:30 #1
    angelomartins
    angelomartins está desconectado
    Ingresso
    Aug 2012
    Posts
    43

    Padrão Ataque RB

    Bom Dia.

    Pessoal estou sofrendo ataque de alguns ip,

    criei a seguinte regra para bloqueio desses ips.

    /ip firewall Filter
    Chain: Forward
    Dst address: ip que esta atacando.
    Action: DROP

    /ip firewall Filter
    Chain: Input
    Dst address: ip que esta atacando.
    Action: DROP

    mais não esta funcionando, qual será o problema ? esta faltando alguma coisa na regra ?

    Obrigado,

    Angelo
  2. 05-10-2012, 10:00 #2
    trober
    trober está desconectado
    Moderador Avatar de trober
    Ingresso
    Nov 2010
    Localização
    Paraná
    Posts
    1.053

    Padrão Re: Ataque RB

    Citação Postado originalmente por angelomartins Ver Post
    Bom Dia.
    Bom dia Angelo.

    Citação Postado originalmente por angelomartins Ver Post
    mais não esta funcionando, qual será o problema ? esta faltando alguma coisa na regra ?
    Suas regras estão 'viradas'. O IP do atacante é 'source address'. 'Destination address', nessa situação, é você.

    Citação Postado originalmente por angelomartins Ver Post
    Pessoal estou sofrendo ataque de alguns ip,

    criei a seguinte regra para bloqueio desses ips.

    /ip firewall Filter
    Chain: Forward
    Dst address: ip que esta atacando.
    Action: DROP

    /ip firewall Filter
    Chain: Input
    Dst address: ip que esta atacando.
    Action: DROP
    Faça a alteração, e nos reporte do resultado.

    Saudações,

    Trober
  3. 05-10-2012, 10:03 #3
    angelomartins
    angelomartins está desconectado
    Ingresso
    Aug 2012
    Posts
    43

    Padrão Re: Ataque RB

    Trober, Obrigado pela ajuda,

    Ja fiz a alteração e mesmo assim não esta pegando os ip. continua sem funcionar.

    Obrigado
  4. 05-10-2012, 10:05 #4
    michaelbr
    michaelbr está desconectado
    Avatar de michaelbr
    Ingresso
    Apr 2011
    Localização
    Foz do Iguaçu / Paraná
    Posts
    95

    Padrão

    Que tipo de "ataque" você identificou ? E como identificou isso ?
  5. 05-10-2012, 10:15 #5
    angelomartins
    angelomartins está desconectado
    Ingresso
    Aug 2012
    Posts
    43

    Padrão Re: Ataque RB

    na minha interface Wan esta com trafego alto RX 5MB e TX 3MB, e não estou utilizando nada do link. estou pegando os ip externo com maior trafego pelo touch
  6. 05-10-2012, 10:30 #6
    michaelbr
    michaelbr está desconectado
    Avatar de michaelbr
    Ingresso
    Apr 2011
    Localização
    Foz do Iguaçu / Paraná
    Posts
    95

    Padrão Re: Ataque RB

    /ip firewall filter add chain=input in-interface=interface_wan action=drop src-address=xxx.xxx.xxx.xxx disabled=no
    /ip firewall filter add chain=forward in-interface=interface_wan action=drop src-address=xxx.xxx.xxx.xxx disabled=no
    Onde: xxx.xxx.xxx.xxx = ip que está gerando o tráfego malicioso
  7. 05-10-2012, 10:49 #7
    trober
    trober está desconectado
    Moderador Avatar de trober
    Ingresso
    Nov 2010
    Localização
    Paraná
    Posts
    1.053

    Padrão Re: Ataque RB

    Citação Postado originalmente por angelomartins Ver Post
    Ja fiz a alteração e mesmo assim não esta pegando os ip. continua sem funcionar.
    A ordem das regras influencia no funcionamento. Alguma regra anterior entrou na coincidência (matching) da sua regra de bloqueio, que é posterior. Assim a filtragem não é processada.

    É para funcionar, tanto que o colega michaelbr também contribuiu com igual lógica, quanto ao source address.

    Saudações,

    Trober
    Última edição por trober; 05-10-2012 às 10:50. Razão: Correção gramatical
  8. 07-10-2012, 17:21 #8
    Acronimo
    Acronimo está desconectado
    SUPORTE E CONSULTORIA Avatar de Acronimo
    Ingresso
    Oct 2008
    Localização
    Rio de Janeiro - RJ
    Posts
    2.106
    Posts de Blog
    1

    Padrão Re: Ataque RB

    Informe qual ataque esta sofrendo

    ssh? telnet?
  9. 07-10-2012, 20:01 #9
    angelomartins
    angelomartins está desconectado
    Ingresso
    Aug 2012
    Posts
    43

    Padrão Re: Ataque RB

    galera depois de muito quebrar a cabeça um amigo me ajudou e resolvemos o problema

    não é bem um ataque, oque estava acontecendo é que tenho proxy Habilitado na RB e o povo externo estava utilizando minha RB como proxy deles,

    criei uma regla no filter Bloqueando a porta 3128 para imput e resolveu.

    Obrigado a todos pela ajuda.



« Tópico Anterior | Próximo Tópico »