Биллинговая система Nodeny
25 Ноября 2024, 06:35:16 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: Я в шоке... подбор пароля по ssh  (Прочитано 11542 раз)
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« : 01 Апреля 2010, 08:11:29 »

Воспользовавшись статьей уважаемого smallcms по мануалу (http://forum.nodeny.com.ua/index.php?topic=505.0) настроел себе защиту от брутфорса.
Все гуд, блокирует как надо.

Раньше было:
Цитировать
Mar  3 20:13:59 bill sshd[42404]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:16:08 bill sshd[42632]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:16:10 bill sshd[42632]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:18:20 bill sshd[42788]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:18:21 bill sshd[42788]: error: PAM: authentication error for root from 211.142.167.198
Mar  3 20:22:33 bill sshd[43112]: error: PAM: authentication error for root from 211.142.167.198
и так много раз, теперь после 3 попытки блочит. Все гуд.

Но вопрос. У меня топология:
интернет >>> сервер микротик (он натит ВСЕ) >>> сервер freebsd (просто роутит и шейпит на сервер микротик клиентов).

Как в такой топологии может быть перебор пароля брутфорсом по SSH на сервере з FreeBSD?? Никаких пробросов портов нет впринцыпе. Я сейчас уже методом тыка от другого провайдера пробую зайти - все порты закрыты, порт 22 и т.д. намертво закрыт.
Но в логах и дальше пишет, даже вчера:
Цитировать
Mar 31 00:21:02 bill sshguard[69371]: Blocking 93.97.176.136:4 for >420secs: 4 failures over 146 seconds.

Повторюся, я просканил порты с интернета, вообще с другого провайдера - все закрыто, никакие программы не цепляются к ним никак (естественно так как они не проброшены на микротику). Как тогда быть? Айпи адреса явно внешние, как еще можно получить доступ из вне без проброса портов? Может ето клиенты хакают? Но почему тогда сервер от клиентов принимает адреса внешние еси на внутреннем интерфесе прописаны только внутренние адреса?

Помагайте товарищи, знаний к сожелению на ето не хватает, или хоть подскажыте куда копать...
Записан
Aivanzipper
NoDeny
Старожил
*

Карма: 62
Offline Offline

Сообщений: 387


206967443
Просмотр профиля
« Ответ #1 : 01 Апреля 2010, 08:15:07 »

Внешний интерфейс шлюза FreeBSD имеет белый ip?
Записан
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« Ответ #2 : 01 Апреля 2010, 08:36:41 »

Внешний интерфейс шлюза FreeBSD имеет белый ip?

Спасибо, друг! А я думал с ума сойду уже ))). Внутренный адрес на сервере фрибсд имеет белый айпи (для роутинга клиентов с белыми айпи). А как можно сделать чтобы он из вне не принимал запросы на адрес свой?

Топология и адресация для понимания:
Микротик (внешний адрес - 200.200.200.50/30,
               внутренний адрес - 192.168.168.1/28)

Фрибсд роутер (внешний адрес - 192.168.168.2/28)
                      внутренний адрес - 10.46.16.0/22, и для реальных айпи 200.200.220.25/29)

по адресу 200.200.220.25/29 действительно заходит, просто думал если адрес на внутреннем интерфейсе то уже никого не пустит...

Как в таком случае правильно запретить доступ извне? На етом адресе естественно для клиентов с реальными айпишками крутятся сервисы (апач и т.д.).
Может подскажыте правило фаервола?
ipfw 30 allow ip from 200.200.220.25/29 to 200.200.220.25
ipfw 30 deny ip from all to 200.200.220.25

пойдет?
Записан
Aivanzipper
NoDeny
Старожил
*

Карма: 62
Offline Offline

Сообщений: 387


206967443
Просмотр профиля
« Ответ #3 : 01 Апреля 2010, 08:50:13 »

вроде так должно получиться

deny ip from any to 200.200.220.25 via <внешняя_сетевуха> in
Записан
Александр (AleksHr)
NoDeny
Старожил
*

Карма: 2
Offline Offline

Сообщений: 323


Просмотр профиля
« Ответ #4 : 01 Апреля 2010, 09:06:44 »

ipfw show 10:
Цитировать
00010     16       776 deny ip from any to xxx.xxx.xxx.xxx via re0 in

Спасибо, все работает, тему можно закрывать.
Записан
Cell
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1407



Просмотр профиля
« Ответ #5 : 01 Апреля 2010, 09:15:35 »

А из отпуска нужно будет зайти - что будешь делать?
Самая лучшая защита, как показала практика, заставить ссш слушать высокий порт какой-то. Их тупо не сканируют )). А если кто-то реально решил его пощупать - значит очень сильно уже захотел сломать ))) но на моей практике такого небыло.
Записан
versus
Администратор
Спец
*****

Карма: 21
Offline Offline

Сообщений: 845


44306843
Просмотр профиля WWW Email
« Ответ #6 : 01 Апреля 2010, 09:43:45 »

http://forum.nodeny.com.ua/index.php?topic=371.0  - или так
http://forum.nodeny.com.ua/index.php?topic=505.0  - или так

есть еще технология  ssh-knock,  ну и сменить порт ссш на что то типа 5544 никто не мешает.
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!