|
Название: Я в шоке... подбор пароля по ssh Отправлено: Александр (AleksHr) от 01 Апреля 2010, 08:11:29 Воспользовавшись статьей уважаемого smallcms по мануалу (http://forum.nodeny.com.ua/index.php?topic=505.0 (http://forum.nodeny.com.ua/index.php?topic=505.0)) настроел себе защиту от брутфорса.
Все гуд, блокирует как надо. Раньше было: Цитировать Mar 3 20:13:59 bill sshd[42404]: error: PAM: authentication error for root from 211.142.167.198 и так много раз, теперь после 3 попытки блочит. Все гуд.Mar 3 20:16:08 bill sshd[42632]: error: PAM: authentication error for root from 211.142.167.198 Mar 3 20:16:10 bill sshd[42632]: error: PAM: authentication error for root from 211.142.167.198 Mar 3 20:18:20 bill sshd[42788]: error: PAM: authentication error for root from 211.142.167.198 Mar 3 20:18:21 bill sshd[42788]: error: PAM: authentication error for root from 211.142.167.198 Mar 3 20:22:33 bill sshd[43112]: error: PAM: authentication error for root from 211.142.167.198 Но вопрос. У меня топология: интернет >>> сервер микротик (он натит ВСЕ) >>> сервер freebsd (просто роутит и шейпит на сервер микротик клиентов). Как в такой топологии может быть перебор пароля брутфорсом по SSH на сервере з FreeBSD?? Никаких пробросов портов нет впринцыпе. Я сейчас уже методом тыка от другого провайдера пробую зайти - все порты закрыты, порт 22 и т.д. намертво закрыт. Но в логах и дальше пишет, даже вчера: Цитировать Mar 31 00:21:02 bill sshguard[69371]: Blocking 93.97.176.136:4 for >420secs: 4 failures over 146 seconds. Повторюся, я просканил порты с интернета, вообще с другого провайдера - все закрыто, никакие программы не цепляются к ним никак (естественно так как они не проброшены на микротику). Как тогда быть? Айпи адреса явно внешние, как еще можно получить доступ из вне без проброса портов? Может ето клиенты хакают? Но почему тогда сервер от клиентов принимает адреса внешние еси на внутреннем интерфесе прописаны только внутренние адреса? Помагайте товарищи, знаний к сожелению на ето не хватает, или хоть подскажыте куда копать... Название: Re: Я в шоке... подбор пароля по ssh Отправлено: Aivanzipper от 01 Апреля 2010, 08:15:07 Внешний интерфейс шлюза FreeBSD имеет белый ip?
Название: Re: Я в шоке... подбор пароля по ssh Отправлено: Александр (AleksHr) от 01 Апреля 2010, 08:36:41 Внешний интерфейс шлюза FreeBSD имеет белый ip? Спасибо, друг! А я думал с ума сойду уже ))). Внутренный адрес на сервере фрибсд имеет белый айпи (для роутинга клиентов с белыми айпи). А как можно сделать чтобы он из вне не принимал запросы на адрес свой? Топология и адресация для понимания: Микротик (внешний адрес - 200.200.200.50/30, внутренний адрес - 192.168.168.1/28) Фрибсд роутер (внешний адрес - 192.168.168.2/28) внутренний адрес - 10.46.16.0/22, и для реальных айпи 200.200.220.25/29) по адресу 200.200.220.25/29 действительно заходит, просто думал если адрес на внутреннем интерфейсе то уже никого не пустит... Как в таком случае правильно запретить доступ извне? На етом адресе естественно для клиентов с реальными айпишками крутятся сервисы (апач и т.д.). Может подскажыте правило фаервола? ipfw 30 allow ip from 200.200.220.25/29 to 200.200.220.25 ipfw 30 deny ip from all to 200.200.220.25 пойдет? Название: Re: Я в шоке... подбор пароля по ssh Отправлено: Aivanzipper от 01 Апреля 2010, 08:50:13 вроде так должно получиться
deny ip from any to 200.200.220.25 via <внешняя_сетевуха> in Название: Re: Я в шоке... подбор пароля по ssh Отправлено: Александр (AleksHr) от 01 Апреля 2010, 09:06:44 ipfw show 10:
Цитировать 00010 16 776 deny ip from any to xxx.xxx.xxx.xxx via re0 in Спасибо, все работает, тему можно закрывать. Название: Re: Я в шоке... подбор пароля по ssh Отправлено: Cell от 01 Апреля 2010, 09:15:35 А из отпуска нужно будет зайти - что будешь делать?
Самая лучшая защита, как показала практика, заставить ссш слушать высокий порт какой-то. Их тупо не сканируют )). А если кто-то реально решил его пощупать - значит очень сильно уже захотел сломать ))) но на моей практике такого небыло. Название: Re: Я в шоке... подбор пароля по ssh Отправлено: versus от 01 Апреля 2010, 09:43:45 http://forum.nodeny.com.ua/index.php?topic=371.0 - или так
http://forum.nodeny.com.ua/index.php?topic=505.0 - или так есть еще технология ssh-knock, ну и сменить порт ссш на что то типа 5544 никто не мешает. |