-
Será ataque ao MK?
Bem galera seguinte: tenho 3 MK, só que um estava exelente ae do nada começou a cair o adsl que usava em bridge, pensei ser o modem 3com dae mudei ele para o huawey, continua a mesma, ae coloquei o modem roteado, sendo a mesma coisa caindo! Apliquei algumas regras no firewall tipo bloqueio de brute force e tal, percebi q parou de cair, más o log do MK ficou aparecendo algo q não aparecia antes, drop do firewall e com o mac do modem, e ainda consegue derrubar o modeme não sei como resolver o problema,e queria saber se alguém já passou por este problema e como resolver.
grato a todos que puder me ajudar, abraços...
http://d.imagehost.org/0138/drop.jpg
-
Caro multlink, se você por acaso tivesse descrito os serviços que utiliza no seu sistema, como estão as configurações, o que fez exatamente quando comenta que construi filtros no firewall, acredita que seria mais fácil lhe ajudar??
Pense nisso... não custa elaborar uma questão. Acredito que se parar e pensar antes de escrever, talvez até encontre a resposta. O nosso problema é simplesmente ditar o problema e não pensamos/elaboramos a questão.
Como alguém poderá ajudar sem detalhes? Na base da adivinhação e palpite, que é o que mais vemos atualmente?
Seu problema, pelo que é exibido no log, está relacionado ao web-proxy. Construa um filtro que proteja a porta do mesmo para INPUT na interface externa (Internet) e coloque-o nas primeiras posições do firewall.
Caso não seja isso, deverá identificar, no momento que ocorre o problema, quais clientes estão conectados e analisar (troch e packet sniffer) o tráfego referente ao web-proxy.
-
opa sergio, bem não uso web proxy mas ae vai minhas config de firewall:
0 ;;; BLOQUEIO DO
;;; P2P
chain=forward p2p=all-p2p src-address-list=p2p-sem-bloqueio action=drop
1 ;;; BLOQUEIO DE DNS REVERSO
chain=input protocol=tcp dst-port=!8291 content=user.veloxzone.com.br
action=drop
2 ;;; BRUTE FORCE
chain=input protocol=tcp dst-port=8291 connection-limit=2,32
connection-state=established action=add-src-to-address-list
address-list=drop winbox address-list-timeout=12h
3 chain=input protocol=tcp dst-port=80 connection-limit=2,32
connection-state=established action=add-src-to-address-list
address-list=drop winbox address-list-timeout=12h
4 chain=input src-address-list=drop winbox action=drop
5 ;;; BLOQUEIO SPAMMERS
chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop
6 chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5
src-address-list=!spammer action=add-src-to-address-list
-- [Q quit|D dump|up|down]
-
o que é a interface squid3com ?
-
bem sergio, obrigado pelas infos, as assim, não uso web proxy, a interface é squid_3con pq ainda vou colocar o debian em paraleno, mas no momento não mexi em nada de web-proxy, e as minhas regras do firewall são essas:
0 ;;; BLOQUEIO DO
;;; P2P
chain=forward p2p=all-p2p src-address-list=p2p-sem-bloqueio action=drop
1 ;;; BLOQUEIO DE DNS REVERSO
chain=input protocol=tcp dst-port=!8291 content=user.veloxzone.com.br
action=drop
2 ;;; BRUTE FORCE
chain=input protocol=tcp dst-port=8291 connection-limit=2,32
connection-state=established action=add-src-to-address-list
address-list=drop winbox address-list-timeout=12h
3 chain=input protocol=tcp dst-port=80 connection-limit=2,32
connection-state=established action=add-src-to-address-list
address-list=drop winbox address-list-timeout=12h
4 chain=input src-address-list=drop winbox action=drop
5 ;;; BLOQUEIO SPAMMERS
chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop
6 chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5
src-address-list=!spammer action=add-src-to-address-list
-- [Q quit|D dump|up|down]
tinha mais regras mas tirei todas deixando somente essas para saber se era elas ou não.
Coloquei agora o modem em bridge e continua do mesmo jeito, parece um scan n sei ao certo mas vai fuçando até derrubar o MK, detalhe, dou um reboot no MK e volta normal a net continuando os ataques, e a internet não quai do modem sendo roteado, so reniciando o MK volta a net ae agora coloquei em bridge sendo mk discando e estou ak monitorando, ae vai a imagem de quando caiu a net do mk em vermelho, interessante que aparece esteas iniciais proto TCP (ACK, RST) (SYN)e quando caiu apareceu (ACK,PIN e PSH), isso em modo roteado, neste momento esta em bridge taiu neste momento, e o interessante que ontem foi a mesma coisa até da um certo horário e para. caiu agora o PPPoE e da a seginte mensagem:
terminating: peer is not responding, disconect..