На шлюзе с двумя внешними интерфейсами нет логов об атаках в auth.log
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2021-05-05 12:58:12
На шлюзе с двумя внешними интерфейсами нет логов об атаках в auth.log
Всем доброго времени суток.
Имеется шлюз на freeBSD 12.2-RELEASE
До недавнего времени, когда в компании был один провайдер, в auth.log сыпалась вся инфа об атаках по ssh на сервер.
Она использовалась для вытаскивания оттуда ip адресов атакующих с последующим добавлением их в таблицу, которую использует фаервол (pf) для блокировки. В компании было принято решение организовать резервное подключение ко второму провайдеру. На сервер была добавлена вторая внешняя сетевая карта. После её настройки файл auth.log оказался пуст (кроме инфы о подключении по ssh из локалки). Т. е. сервер перестал записывать всю инфу об атаках из-вне. Как только убираю настройки со второй карточки, то логи опять появляются.
Подскажите пж., куда копнуть?
Спасибо.
Имеется шлюз на freeBSD 12.2-RELEASE
До недавнего времени, когда в компании был один провайдер, в auth.log сыпалась вся инфа об атаках по ssh на сервер.
Она использовалась для вытаскивания оттуда ip адресов атакующих с последующим добавлением их в таблицу, которую использует фаервол (pf) для блокировки. В компании было принято решение организовать резервное подключение ко второму провайдеру. На сервер была добавлена вторая внешняя сетевая карта. После её настройки файл auth.log оказался пуст (кроме инфы о подключении по ssh из локалки). Т. е. сервер перестал записывать всю инфу об атаках из-вне. Как только убираю настройки со второй карточки, то логи опять появляются.
Подскажите пж., куда копнуть?
Спасибо.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
На шлюзе с двумя внешними интерфейсами нет логов об атаках в auth.log
Скорее всего ssh не "слушает" резервный канал. Другие причины такого поведения даже сложно представить.
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2021-05-05 12:58:12
На шлюзе с двумя внешними интерфейсами нет логов об атаках в auth.log
А это не подразумевает, что ssh должен слушать везде?
ListenAddress 0.0.0.0
ListenAddress 0.0.0.0
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
На шлюзе с двумя внешними интерфейсами нет логов об атаках в auth.log
Подразумевает, но если при активности какого-то интерфейса нету логов, значит либо выключается логгирование (странно), либо выключаете ssh (тоже странно), либо не слушается интерфейс.
Ну, либо вы чего-то не договариваете, например, делаете какие-то дополнительные действия.
Ну, либо вы чего-то не договариваете, например, делаете какие-то дополнительные действия.
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2021-05-05 12:58:12
На шлюзе с двумя внешними интерфейсами нет логов об атаках в auth.log
Да. Может быть не договариваю. Это тестовый сервер. Поднят был для проверки наличия проблемы (рабочий трогать не стал, убрал настройки второй сетевой внешней карточки чтоб логи велись). Проблема повторилась.
Зачем?
У меня вопрос к сообществу:
если у кого организован шлюз с двумя провайдерами - всё ли нормально с логированием SSH в auth.log?
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
На шлюзе с двумя внешними интерфейсами нет логов об атаках в auth.log
Не задавайте мне вопрос "зачем вам отключать ssh", я вам говорю варианты, когда такое может быть. У меня 2 провайдера и всё отлично логгируется. Другое дело, что у вас пакеты могут уходить через default gw, а не оттуда откуда он пришёл. Тогда да, в логах будет пусто, так как не установится handshake. Но это и так понятно.