Как заблокировать входящий ip?

[Alucard_AT]

Постоянно стучаться с нескольких разных ip. Поднят VPN - сервер PPTP для сервака 1с и постоянно кто-то стучится на него левые ip.  Пример: [I] May 17 14:36:27 ndhcps: sending ACK of 192.168.1.221 to 52:90:34:7a:e4:3f. 
[I] May 17 14:36:50 ppp-pptp: pptp: new connection from 104.255.69.246 
[I] May 17 14:36:50 ppp-pptp: ppp2:: connect: ppp2 <--> pptp(104.255.69.246) 
[W] May 17 14:36:51 ppp-pptp: ppp2:: mschap-v2: user not found 
[E] May 17 14:36:51 ppp-pptp: ppp2:admin: admin: authentication failed 
[I] May 17 14:36:51 ppp-pptp: ppp2:: pptp: disconnected 

Как от таких избавиться?

[Migel]

https://help.keenetic.com/hc/ru/articles/360000578240-Межсетевой-экран

https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7

Edited May 17 by Migel

[KeyYerS]

@Migel

Что мешает организовать команду в прошивке роутера, которая вместе с прогрузкой и согласованием текущего времени по NTP с серверов кинетика "тянул" бы бан-лист, с изначально "собранным" списком вредоносных сеток, инициирующих атаки брутфорса и прочего, да и дополнять который поможем мы сами, просто "пробивая" ip по whois и присылая его на какой-либо адрес почты ТП кинетиков?

Edited May 17 by KeyYerS

[Migel]

16 часов назад, KeyYerS сказал:

@Migel

Что мешает организовать команду в прошивке роутера, которая вместе с прогрузкой и согласованием текущего времени по NTP с серверов кинетика "тянул" бы бан-лист, с изначально "собранным" списком вредоносных сеток, инициирующих атаки брутфорса и прочего, да и дополнять который поможем мы сами, просто "пробивая" ip по whois и присылая его на какой-либо адрес почты ТП кинетиков?

Потому что нет такого списка и быть не может. Занесет кто нибудь в этот список IP адрес с которого вы подключаетесь к своему PPTP серверу и все.

Единственный вариант это как-то прикрутить списки адресов Geo IP. Такая возможность например присутствует в межсетевых экранах Zyxel.

Например мне бы хотелось разрешить доступ к роутеру снаружи только с российских ip адресов. Для всех остальных запретить.

Edited May 18 by Migel

[KeyYerS]

3 часа назад, Migel сказал:

Занесет кто нибудь в этот список IP адрес

Что или кто мешает это реализовать?  Технически это возможно.  Было бы желание у ТП или разработчиков cloud'а.
Реализация желаемого на уровне роутера - это не устранение причины, а борьба с последствиями /причём бесконечная с учётом внедрения ipv6/.

Запрет по Geo IP спискам (всем кроме РФ/СНГ) нужно делать централизованно, на стороне cloud'а - зловреды пытаются использовать лень покупателей, даже не изменивших деф логин/пароль на роутере, либо с "простым" легкоподбираемым паролем.
Ну если Вы с этого ip хулиганите в сторону чужих роутеров - Вам в бан.

Edited May 18 by KeyYerS

[KeyYerS]

3 часа назад, Migel сказал:

прикрутить списки адресов Geo IP

просто создав сервис на cloud'е, на котором будет реализована давно бесплатная фича собратьев из Zyxel'я, к которому /при включенной пользователем галочке/ роутер обращается /после прогрузки либо регулярно/ за бан-списком, автоматом формируя в роутере правило блокировки "не РФ/СНГ сегмента" ip-адресов.

Тогда вопрос по какому-либо (возможно ошибочно) забаненному ip можно решать через ТП или отдельный канал связи с разработчиками.

[KeyYerS]

На стороне роутера такое лепить только "ручками"  - 9346 сегментов типа "93.158.128.0-93.158.130.251", поскольку даже <LITE FREE GEO-IP> отсюда lite.ip2location.com (только IPv4 версия) уже почти 12 Мб "весом".  А простой текстовик с этим же списком - 258 кб.
Поэтому правило выглядит так:  "в бан всех, кроме РФ/СНГ", сегменты адресов которые указаны в "подтянутом списке" (перечислением).

Edited July 9 by KeyYerS

[Alucard_AT]

В 17.05.2024 в 17:13, Migel сказал:

https://help.keenetic.com/hc/ru/articles/360000578240-Межсетевой-экран

https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7

Спасибо. Занёс ip в запрещающие правила. Тестирую. 3 часа полёт нормальный. В логах не отображается, но и так понятно, что заблокированные ip не могут достучаться. До того, как создал правила, стучали каждые две минуты. Заносил все из журнала, их было не так уж и много. 

[Migel]

1 час назад, Alucard_AT сказал:

Спасибо. Занёс ip в запрещающие правила. Тестирую. 3 часа полёт нормальный. В логах не отображается, но и так понятно, что заблокированные ip не могут достучаться. До того, как создал правила, стучали каждые две минуты. Заносил все из журнала, их было не так уж и много. 

Лучше запрещать не конкретный IP, а всю сеть, в которую входит этот адрес.

Проверив тут http://www.whois-service.ru/lookup/

[KeyYerS]

6 часов назад, Alucard_AT сказал:

их было не так уж и много

Конкретно к Вам которые "ломились"?  Раздобыл список бан-листа - 9346 "диапазонов"  IPv4.  Вот кумекаю - влезет ли?

[Alucard_AT]

17 часов назад, KeyYerS сказал:

Конкретно к Вам которые "ломились"?  Раздобыл список бан-листа - 9346 "диапазонов"  IPv4.  Вот кумекаю - влезет ли?

Да, которые ко мне ломились. 104.255.69.192 - один из таких ip.

[KeyYerS]

9 часов назад, Alucard_AT сказал:

104.255.69.192 - один из таких ip

В списке бан-листа этого адреса нет.  Там вот так ".....; 104.244.164.0-104.244.167.255; 107.150.93.0-107.150.93.255; ....."

Блокируйте всю подсеть этих канадцив   = 104.255.64.0 - 104.255.71.255 =.

[KeyYerS]

17.07 обращался в ИП за помощью по настройке запрещающих правил.  Обрисовал проблему, предложил решение как у их собратьев ZyXel реализовано:

Скрытый текст

"""
1))
В связи с катастрофически возрастающими атаками ddos, bruteforce и прочими со стороны "недружелюбных" стран категорически востребован становится сервис на Вашем ресурсе, суть работы которого в следующем (как это уже реализовано у Ваших "младших" братьев в ZyXel):

- на Ваших серверах размещается список ip-сетей, доступ из которых запрещается на роутеры Keenetic/ZyXel, любые порты-протоколы;

- роутер периодически (настраиваемый параметр) после загрузки обращается к этому списку и одним правилом в своей конфигурации блокирует любые запросы с этих ip-сетей.

Самостоятельное создание правил на роутере бесполезно, т.к. ограничено кол-вом создаваемых правил;  а по данным сервиса GEO-IP одних только ipv4 сегментов сетей (источников атак) более 9000.
2)))

- по п.1 - порт меняю на роутере с 80-го на "другой" (чаще на 8080) ещё на стадии настройки локально, до подключения роутера к паблик сети; огорчает, что нет возможности задавать "свой" порт, не из списка, который всем широко известен.....;

- по п.2 - а какой в этом смысл? если роутер в момент загрузки задействует любой порт, какой бы я ни назначал, для проверки соединения, "стучась" на три ресурса:  ya.ru, vk.com  и youtube.com именно по этому порту (хоть 443, хоть 8443)?  А типа на "той" стороне запроса роутера никому типа не видно - откуда и через какой порт приходит запрос? Типа  ИИ такое "не под силу"?

-- И кстати: в связи с предстоящими блокировками "ихтуба", регулярными взломами "воконтакте", и продажей "тындекса"   - может есть смысл проверку адресовать на созданную Вами "площадку"?  Чисто для запрета аналитики поступающих запросов от роутеров... Чтобы данные вообще не "утекали" на сторонние ресурсы?

- по п.3 -  сразу возникает вопрос:  а для чего тогда мне настраиваемый и управляемый роутер, если мне нельзя использовать правила переадресации, службу Upnp?

- по п.4 - "местечковые" провайдеры в городах 3-ей категории и ниже (с населением в 40-150 т/человек) даже не вникают в систему защиты клиентов  - в самом наилучшем случае дают "белый" ip, а в большинстве - "серый"...

- по п.5 - даже этот запрет не прекращает попытки взломать роутер - в мониторе "Активных соединений" постоянно (иногда до двух-трёх десятков) подключения на лок адрес роутера по 80, 443 и другим портам - а это нагрузка на роутер, замедляющая его работу для "своих" клиентов.

"Отслеживание" зловредов можно организовать просто и даже на Вашей стороне - сделайте отдельно вирт стенд с разными моделями/прошивками/провайдерами, не публикуя его нигде  - включите логирование подключений к роутерам  - за одну-две недели "выловите" всех...  Да и мы, активные пользователи и зарегистрированные участники форума, заинтересованные в чистоте "паблик инета" регулярно Вам присылали бы ip таких вредителей для пополнения такого списка.

Напомню, что Ваши "младшие" коллеги в компании ZyXel реализовали этот сервис для своего оборудования. Как уж у них это получилось без возрастания нагрузки , да ещё и одним правилом  - просто "Вкл" галочку в настройках....

3)))

"Галочка одна, но по сути придется проверять адрес источника на соответствие всем возможным адресам злоумышленников."  

- именно об этом я Вам и пишу:   доступ к конкретному роутеру "идёт" через Ваши сервисы по доменному имени, так?  Значит нужно (что будет являться устранением причины как таковой) на Вашей стороне и "поднять" этот МСЭ, /аналогия решения ZyXel/ который и будет отсекать целиком сегментами адреса зловредов (на стороне роутера это просто "латание дыр", т.е. борьба с последствиями).  А "прямые тупые" попытки зловреда на "белый ip" роутера просто отсекаются правилом, блокирующим все возможные сети бессрочно (источник атаки, дважды сгенерировавший ошибку доступа)

...

И мне кроме помощи ещё ответили:  ""Решение с одной галочкой наметили к реализации. Скорее всего оно войдет в версию KeeneticOS 4.3.""