|
| 1.2, sds (?), 11:43, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
опасно особено если, как у меня, вся работа идет через инет. Заблокирует нужные сервера -- на выходные - и полезешь в консоль | | |
| 1.3, Finch (??), 12:31, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Ну так можно ж время блокировки выставить. Во всяком случае в snort2pf такая опция была.
Выставил блокировку на 5 минут. И особенно не паришься: и тебе хорошо, и серверу хорошо, а злоумышленнику плохо.... | | |
| |
| 2.4, Аноним (4), 15:10, 06/05/2005 [^] [^^] [^^^] [ответить]
| +/– | |
угу - и тебе вроде как не особо хорошо, да и злыдню не особо плохо. | | |
| 2.5, _Ale_ (ok), 15:11, 06/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
Злоумышленник ставит в крон через каждые 5 мин скан твоих портов с подменой обратного ИП - и ему отлично, а тебе - геммор...
имхо - нафиг... | | |
| |
| 3.16, Банзай (??), 01:06, 11/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
 письмо провайдеру, канальному провайдеру и т.д.
Снимает, как рукой. | | |
|
|
| 1.6, uldus (ok), 15:45, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Можно делать проще. Вешаем на 22 и 23 порт скрипт который заносит в файервол все IP с которых было установлено TCP соединение :-) sshd биндим на другой порт. | | |
| |
| 2.7, _Ale_ (ok), 15:52, 06/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
а зачем скрипт?
pf.conf добавляем строчку, чтоб писал в лог соединения на эти порты... | | |
| 2.8, edwin (ok), 18:53, 06/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Вешаем на 22 и 23 порт скрипт
Гораздо проще:
ipfw add 1500 drop log tcp from any to me 22
ipfw add 1501 drop log tcp from any to me 23
И париться не надо.
А до этих правил вешаем разрешающие доступ с доверреных хостов. | | |
| |
| 3.9, _Ale_ (ok), 21:58, 06/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
>ipfw add 1500 drop log tcp from any to me 22
>ipfw add 1501 drop log tcp from any to me 23
вообще-то речь идет о PF | | |
| 3.13, uldus (ok), 21:48, 07/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
>>Вешаем на 22 и 23 порт скрипт
>Гораздо проще:
Вы не поняли, после обращения к этим портам _полностью_ блокируем доступ к открытым публичным сервисам или всей своей сети, если машина шлюз, для этого IP из скрипта.
| | |
|
|
| |
| 2.11, Горыныч (?), 19:05, 07/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
Зачем лишние правила в фаерволе ?
host_wrapper уже отменили ? ssh также будет в логи писать попытки соединений с левых ip | | |
| |
| 3.14, edwin (ok), 09:37, 08/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
> Зачем лишние правила в фаерволе ?
Потому как правила регистрируют ЛЮБЫЕ пришедшие пакеты.
И SYN, и FIN и др.
Что очень помогает в выявлении хитрых сканирований.
А твой метод подходит только для выявления полноценных подключений.
ИМХО ... правила firewall'а надежнее | | |
|
|
| 1.17, KAA (??), 05:39, 11/05/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 а кто нибудь занимался блокированием адресов при получении вирусованного емайла? например в связке postfix + amavis + clamav | | |
| |
| 2.18, Cyclone (??), 13:57, 11/05/2005 [^] [^^] [^^^] [ответить]
| +/– |
 ИМХО неправильно это. Потому как заражённые письма вполне могут прити с "правильного" релея. А Вы его файрволлом собрались... | | |
|
|
