podivne zpomaleni provozu s firewallem PF -OT
Miroslav Lachman
000.fbsd at quip.cz
Wed Nov 21 12:21:23 CET 2007
Jaroslav Votruba wrote:
[...]
> co se tyce tabulky s ceskyma domenama,nebylo by snadnejsi a rychlejsi
> nejak kontrolovat domenu .cz ( i kdyz tam by asi byli dost
> prodlevy-pokud je to vubec mozne- s DNS dotazama)
On je hlavne problem v tom, ze i na ceske IP adrese muze klidne byt
neco.com nebo treba necojineho.de a presto se jedna o IP adresu
umistenou v ceske republice.
Spousta IP adres nema vubec prirazeny domenove zaznamy.
Geo IP je podle me sestavovana z dat z registru IANA, kazdy mesic
vychazi aktualizace a neni problem to jednou za cas zaktualizovat (tech
zmen tam neni zas tak moc).
Primarne to pouzivam proto, abych odstinil scriptovane bruteforce utoky
na SSH, ktere jdou v 99.5% ze zahranici (at uz USA, nebo Cina).
Z ceskych stroju se neco vyskytne tak jednou za mesic a to vetsinou
zachyti prave ta druha cas pravidla pro ssh - tedy overload:
max-src-conn 6, max-src-conn-rate 6/60, overload
<ssh_bruteforce> flush global)
Tim se automaticky IP adresa prida do tabulky ssh_bruteforce a je
vystarano. (abych se tam sam nedostal, tak tam mam prave jeste predtim
to pravidlo s goodguys)
Navic se da pouzit port security/expiretable pro automatickou expiraci
IP v tabulkach, takze treba po hodine / po jednom dnu se IP zase z
tabulky vyradi.
A aby toho nebylo malo, nocni security report mi do e-mailu pridava
jednoduchym scriptem i rozdily z tabulek PF, takze jednou za den vidim,
"co se delo".
Mirek
More information about the Users-l
mailing list