Подскажите или помогите сформулировать.

[qwl]

Всем доброго времени суток.

наверника уже есть мне нужная тема... но я ни как не могу сформулировать что искать, поподаю в направлении SSH или ддос

FreeBSD + ipfw
в ipfw настроин проброс порта во внутрь сети, и на этот порт пытаються подобрать пароль, на FreeBSD по этому порту логов нет, все логи на внутреней машине куда пробрасывается порт.

Подскажите или помогите сформулировать.

Заранее спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Bayerische]

помогите сформулировать

В чём состоит задача? Мониторинг брутфорса?

[qwl]

для меня видится задача в блокировке таких попыток, думаю как в "щит" для SSH.

[Bayerische]

Со стороны роутера, думаю, можно только ограничить доступ по IP.
Смотреть надо на стороне атакуемого сервиса. Тут уж зависит от применяемой ОС.
Если юниксподобные, можно настроить логи атак скриптами, и передачу их на роутер, где они будут заноситься в таблицу IPFW.
В общем, конкретика нужна.

[qwl]

попробовал собрать в кучу мысли.
получается, что пытаются подобрать логин и пароль на внутренний сервер под winser2000+удаленое управление (пробовал сменить порт, не помогает, у него характерный отклик), на который настроен проброс порта во FreeBSD.
лог внутреннего сервера показывает, что с одного IP происходит от 3х (самое малое, что увидел) до примерно 250 (самое большое, что увидел) попыток подобрать лог и пас.
попутки идут друг за другом, одновременно с 3х IP замечено.
есть ли методы во FreeBSD+ipfw для такого случая?

ограничить по своим IP нет возможности поскольку присутствуют динамические IP у пользователей.

[Bayerische]

Можно временно блокировать IP атакующего посредством IPFW.
Логи можно привести к общему знаменателю? Хотя-бы, выкладывать на расшаренный ресурс в виде plain text.

[qwl]

Логи можно привести к общему знаменателю?

сейчас пробую настроить выборку IP адресов, пока в работе...

[lazhu]

Паки и паки... Каждый раз одно и то же. Ну не открывайте наружу внутреннюю сетку, если не хотите, чтобы к вам постоянно ломились. Установить впн - дело 5 минут.

[Dmitriy_3206]

Срадствами PF есть замечательное решение
В начале таблицу на основе файла (в файл по крону сбрасываю текущее содержание)
table <hammering> persist file "/usr/local/etc/pf.hammering"


Для себя я установил что в ручную я явно не подключаюсь чаще чем два раза в минуту, по идее и 10 подключений мне не надо

pass log on $ext_if inet proto tcp from any to $ext_if port ssh keep state \
(max-src-conn 10, max-src-conn-rate 2/60, overload <hammering> flush)

Ну и в принципе просто блокировать не интересно, они других будут DDOS ить, пусть покорячатся
block log on $ext_if inet proto tcp from <hammering> to $ext_if port ssh probability 60%

[Electronik]

http://www.lissyara.su/articles/freebsd ... /fail2ban/
http://www.lissyara.su/articles/freebsd ... ortsentry/

[dekloper]

Ну и в принципе просто блокировать не интересно, они других будут DDOS ить, пусть покорячатся
block log on $ext_if inet proto tcp from <hammering> to $ext_if port ssh probability 60%

ога, этта праильна)

[bagas]

Я вообще ssh закрыл для всех кроме своей группы ип адресов, ип статика у всех.
Можно еще выставить количество неверных попыток (MaxAuthTries) в ssh, после которого будит рваться соединение с атакующим.
Мониторить лог /var/log/auth.log , после просто банить на уровне маршрутов (route add 89.252.36.223 127.0.0.1 -blackhole)
А при чем тут виндуз 2000 и ssh?