Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Bom dia,

    Para tráfego UDP, mesmo que você crie a regra de DROP, ele vai chegar até você, consumindo a banda do seu link. Se você tivesse um ASN, poderia bloquear o tráfego para esse IP específico usando BGP, mas vejo que não é o seu caso.

    Abraço

  2. Conforme o amigo franciskv sugeriu eu fiz uma blacklist para o mk dropar porem para minha surpresa ja tenho nesta lista 287949 ips vou ter que deixar só a regra de drop mesmo .

    Segue imagem para apreciação .
    Clique na imagem para uma versão maior

Nome:	         ataque dns2.jpg
Visualizações:	129
Tamanho: 	545,6 KB
ID:      	59586



  3. Cara posta suas regras de drop porque das duas uma ou muitos hosts já estavam utilizando seu dns ou essa regra está errada

  4. segue meu filters

    /ip firewall filter
    add chain=forward dst-port=8090 protocol=tcp
    add chain=input comment="Allow Established connections" connection-state=\
    established
    add chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m \
    protocol=tcp
    add chain=icmp comment="##### Permite todos needed icmp codes in icmp chain:" \
    icmp-options=0:0 protocol=icmp
    add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
    add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
    add chain=icmp comment="host unreachable fragmentation required" icmp-options=\
    3:4 protocol=icmp
    add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
    add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
    add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
    add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
    add chain=input comment="Allow ICMP" protocol=icmp
    add action=add-src-to-address-list address-list="ataque dns " \
    address-list-timeout=4w2d chain=input comment="BLOQUEIO - DNS EXTERNO" \
    disabled=yes dst-port=53 in-interface=" PPPOE - link2 - gvt masterinfo" \
    protocol=udp
    add action=add-src-to-address-list address-list="ataque dns " \
    address-list-timeout=4w2d chain=input disabled=yes dst-port=53 \
    in-interface=" PPPOE - link3 - gvt masterinfo" protocol=udp
    add action=drop chain=input comment="BLOQUEIO - DNS EXTERNO" dst-port=53 \
    in-interface=" PPPOE - link2 - gvt masterinfo" log-prefix="DNS EXTERNO" \
    protocol=udp
    add action=drop chain=input dst-port=53 in-interface=\
    " PPPOE - link3 - gvt masterinfo" log-prefix="DROP - DNS EXTERNO" protocol=\
    udp
    add action=drop chain=input log-prefix="DNS EXTERNO" src-address-list=\
    "ataque dns "
    add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid
    add action=drop chain=forward comment=\
    "##### Bloqueio de \"Bogon IP Addresses\"" src-address=0.0.0.0/8
    add action=drop chain=forward dst-address=0.0.0.0/8
    add action=drop chain=forward src-address=127.0.0.0/8
    add action=drop chain=forward dst-address=127.0.0.0/8
    add action=drop chain=forward src-address=224.0.0.0/3
    add action=drop chain=forward dst-address=224.0.0.0/3
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment=\
    "##### Protege o Router para portas scanners" protocol=tcp psd=21,3s,3,1
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp \
    tcp-flags=fin,psh,urg,!syn,!rst,!ack
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
    add action=drop chain=input comment="dropping port scanners" src-address-list=\
    "port scanners"
    add action=drop chain=input comment="##### Somente 10 FTP login incorrect" \
    dst-port=21 protocol=tcp src-address-list=ftp_blacklist



  5. Verifiquei que alguns IP são originários da França e China te recomendaria a manter a Black-list para evitar futuros processamentos para dropar esses pacotes de novo






Tópicos Similares

  1. Conflito de DHCP voltando, o que fazer?
    Por LucasFabem no fórum Redes
    Respostas: 5
    Último Post: 07-12-2015, 16:20
  2. Respostas: 6
    Último Post: 26-06-2014, 12:18
  3. Range de ips acabou, o que fazer agora?!
    Por edmilson2709 no fórum Redes
    Respostas: 25
    Último Post: 15-02-2014, 22:35
  4. Respostas: 2
    Último Post: 11-05-2008, 04:51
  5. DNS nao sei o que fazer !
    Por xbili no fórum Servidores de Rede
    Respostas: 1
    Último Post: 04-05-2006, 07:30

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L