Я в шоке... подбор пароля по ssh

[Александр (AleksHr)]

Воспользовавшись статьей уважаемого smallcms по мануалу (http://forum.nodeny.com.ua/index.php?topic=505.0) настроел себе защиту от брутфорса.
Все гуд, блокирует как надо.

Раньше было:

Mar  3 20:13:59 bill sshd[42404]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:16:08 bill sshd[42632]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:16:10 bill sshd[42632]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:18:20 bill sshd[42788]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:18:21 bill sshd[42788]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:22:33 bill sshd[43112]: error: PAM: authentication error for root from 211.142.167.198

и так много раз, теперь после 3 попытки блочит. Все гуд.

Но вопрос. У меня топология:
интернет >>> сервер микротик (он натит ВСЕ) >>> сервер freebsd (просто роутит и шейпит на сервер микротик клиентов).

Как в такой топологии может быть перебор пароля брутфорсом по SSH на сервере з FreeBSD?? Никаких пробросов портов нет впринцыпе. Я сейчас уже методом тыка от другого провайдера пробую зайти - все порты закрыты, порт 22 и т.д. намертво закрыт. Но в логах и дальше пишет, даже вчера:

Mar 31 00:21:02 bill sshguard[69371]: Blocking 93.97.176.136:4 for >420secs: 4 failures over 146 seconds.

Повторюся, я просканил порты с интернета, вообще с другого провайдера - все закрыто, никакие программы не цепляются к ним никак (естественно так как они не проброшены на микротику). Как тогда быть? Айпи адреса явно внешние, как еще можно получить доступ из вне без проброса портов? Может ето клиенты хакают? Но почему тогда сервер от клиентов принимает адреса внешние еси на внутреннем интерфесе прописаны только внутренние адреса?

Помагайте товарищи, знаний к сожелению на ето не хватает, или хоть подскажыте куда копать...

[Aivanzipper]

Внешний интерфейс шлюза FreeBSD имеет белый ip?

[Александр (AleksHr)]

Внешний интерфейс шлюза FreeBSD имеет белый ip?

Спасибо, друг! А я думал с ума сойду уже ))). Внутренный адрес на сервере фрибсд имеет белый айпи (для роутинга клиентов с белыми айпи). А как можно сделать чтобы он из вне не принимал запросы на адрес свой?

Топология и адресация для понимания:
Микротик (внешний адрес - 200.200.200.50/30,
               внутренний адрес - 192.168.168.1/28)

Фрибсд роутер (внешний адрес - 192.168.168.2/28)
                      внутренний адрес - 10.46.16.0/22, и для реальных айпи 200.200.220.25/29)

по адресу 200.200.220.25/29 действительно заходит, просто думал если адрес на внутреннем интерфейсе то уже никого не пустит...

Как в таком случае правильно запретить доступ извне? На етом адресе естественно для клиентов с реальными айпишками крутятся сервисы (апач и т.д.).
Может подскажыте правило фаервола?
ipfw 30 allow ip from 200.200.220.25/29 to 200.200.220.25
ipfw 30 deny ip from all to 200.200.220.25

пойдет?

[Aivanzipper]

вроде так должно получиться

deny ip from any to 200.200.220.25 via <внешняя_сетевуха> in

[Александр (AleksHr)]

ipfw show 10:

00010     16       776 deny ip from any to xxx.xxx.xxx.xxx via re0 in

Спасибо, все работает, тему можно закрывать.

[Cell]

А из отпуска нужно будет зайти - что будешь делать?
Самая лучшая защита, как показала практика, заставить ссш слушать высокий порт какой-то. Их тупо не сканируют )). А если кто-то реально решил его пощупать - значит очень сильно уже захотел сломать ))) но на моей практике такого небыло.

[versus]

http://forum.nodeny.com.ua/index.php?topic=371.0  - или так
http://forum.nodeny.com.ua/index.php?topic=505.0  - или так

есть еще технология  ssh-knock,  ну и сменить порт ссш на что то типа 5544 никто не мешает.