L
Откуда этот мак взят?
Из логов. Входящие запросы по порту 3389 идут уже несколько часов с десятка IP и одного МАСа
Size: a a a
2020 October 22
A
Из логов. Входящие запросы по порту 3389 идут уже несколько часов с десятка IP и одного МАСа
Ерунда... Мак-адрес атакующего ты не можешь видеть, если он из интернета.
L
Допустим, вот из лога. Срабатывание фильтра на блокировку брута:
HACK_ forward: in:wan1 out:bridge, src-mac 00:1e:14:3b:26:4c, proto TCP (SYN), 36.112.0.140:56202->192.168.1.15:3389, NAT 36.112.0.140:56202->(89.17.42.28:3389->192.168.1.15:3389), len 52
HACK_ forward: in:wan1 out:bridge, src-mac 00:1e:14:3b:26:4c, proto TCP (SYN), 36.112.0.140:56202->192.168.1.15:3389, NAT 36.112.0.140:56202->(89.17.42.28:3389->192.168.1.15:3389), len 52
L
Потом идет запись о срабатывании проброса портов
RDP1_OLD_ dstnat: in:wan1 out:(unknown 0), src-mac 00:1e:14:3b:26:4c, proto TCP (SYN), 36.112.0.140:63927->89.17.42.28:3389, len 52
RDP1_OLD_ dstnat: in:wan1 out:(unknown 0), src-mac 00:1e:14:3b:26:4c, proto TCP (SYN), 36.112.0.140:63927->89.17.42.28:3389, len 52
AS
Странно как ты сам себя не заблокировал... Там пишется мак шлюза провайдера
L
Странно как ты сам себя не заблокировал... Там пишется мак шлюза провайдера
Почему тогда нормальные пакеты проходят без проблем?
С
Дело в маршрутах
Починил?
A
Потом идет запись о срабатывании проброса портов
RDP1_OLD_ dstnat: in:wan1 out:(unknown 0), src-mac 00:1e:14:3b:26:4c, proto TCP (SYN), 36.112.0.140:63927->89.17.42.28:3389, len 52
RDP1_OLD_ dstnat: in:wan1 out:(unknown 0), src-mac 00:1e:14:3b:26:4c, proto TCP (SYN), 36.112.0.140:63927->89.17.42.28:3389, len 52
AS
вот и я думаю, почему у тебя интернет до сих пор не отвалился... Мож фасттрак
B
Станислав
Починил?
Да. Тупанул я ппц
A
Почему тогда нормальные пакеты проходят без проблем?
Короче, ты делаешь совсем не то, что надо.
С
Да. Тупанул я ппц
Чег было?
A
Короче, ты делаешь совсем не то, что надо.
Я даже боюсь советовать...
L
Короче, ты делаешь совсем не то, что надо.
Что тогда надо делать, если не блокировать по адресу?
AS
Что тогда надо делать, если не блокировать по адресу?
смени для начала порт на РДП входящий на другой
B
Станислав
Чег было?
Wireless mode : st psbridge
A
Что тогда надо делать, если не блокировать по адресу?
Не открывать наружу 3389. Использовать либо впн, либо белый список IP, либо RD GW.
L
смени для начала порт на РДП входящий на другой
Он изначально изменен.
A
смени для начала порт на РДП входящий на другой
Очень ненадолго поможет
A
Есть ещё портнокинг... Но это на любителя