podivne zpomaleni provozu s firewallem PF -OT

Miroslav Lachman 000.fbsd at quip.cz
Wed Nov 21 12:21:23 CET 2007


Jaroslav Votruba wrote:

[...]
> co se tyce tabulky s ceskyma domenama,nebylo by snadnejsi a rychlejsi 
> nejak kontrolovat domenu .cz ( i kdyz tam by asi byli dost 
> prodlevy-pokud je to vubec mozne- s DNS dotazama)

On je hlavne problem v tom, ze i na ceske IP adrese muze klidne byt 
neco.com nebo treba necojineho.de a presto se jedna o IP adresu 
umistenou v ceske republice.
Spousta IP adres nema vubec prirazeny domenove zaznamy.

Geo IP je podle me sestavovana z dat z registru IANA, kazdy mesic 
vychazi aktualizace a neni problem to jednou za cas zaktualizovat (tech 
zmen tam neni zas tak moc).

Primarne to pouzivam proto, abych odstinil scriptovane bruteforce utoky 
na SSH, ktere jdou v 99.5% ze zahranici (at uz USA, nebo Cina).
Z ceskych stroju se neco vyskytne tak jednou za mesic a to vetsinou 
zachyti prave ta druha cas pravidla pro ssh - tedy overload:

max-src-conn 6, max-src-conn-rate 6/60, overload
<ssh_bruteforce> flush global)

Tim se automaticky IP adresa prida do tabulky ssh_bruteforce a je 
vystarano. (abych se tam sam nedostal, tak tam mam prave jeste predtim 
to pravidlo s goodguys)

Navic se da pouzit port security/expiretable pro automatickou expiraci 
IP v tabulkach, takze treba po hodine / po jednom dnu se IP zase z 
tabulky vyradi.

A aby toho nebylo malo, nocni security report mi do e-mailu pridava 
jednoduchym scriptem i rozdily z tabulek PF, takze jednou za den vidim, 
"co se delo".

Mirek



More information about the Users-l mailing list