Snort блокирет выход в глобал
-
Снова прошу ткнуть носом в проблему, найти решение которой не получается, главным образом по причине непонимания предпосылок блокировки. Итак проблема такова, что в один прекрасный момент пропадает инет. Snort при этом говорит в алертах:
# PRI PROTO DESCRIPTION CLASS SRC SPORT FLOW DST DPORT SID Date
1 3 PROTO:255 (portscan) TCP Filtered Portsweep Prep 85.140.53.153 empty -> 62.105.135.103 empty 122:7:0 06/14-10:50:42при этом в блок листе появляется запись
(portscan) TCP Filtered Portsweep 85.140.53.153
системлог пишет:
snort[28576]: [122:7:0] (portscan) TCP Filtered Portsweep [Priority: 3] {PROTO:255} 85.140.53.153 -> 62.105.135.103
snort[28576]: [122:7:0] (portscan) TCP Filtered Portsweep [Priority: 3] {PROTO:255} 85.140.53.153 -> 62.105.135.103адрес 85.140.53.153 (изменен) - это адрес предоставленный мне провайдером по DHCP.
При этом у меня режутся все исходящие соединения в глобал, до удаления адреса из блоклиста, но при этом работает менеджер закачек, продолжающий закачки. Игра с рулесами снорта не помогла.
Понимаю интуитивной задней частью, что решение на поверхности и где-то я туплю, однако не понимаю в чем дело и куда копать. Со снортом заморочился совсем недавно, потому прошу помощи у мозговитых товарищей.
PfSense 1.2.3-RELEASE
snort 2.8.6 pkg v. 1.27
squid 2.7.8_1
squidGuard 1.3-2
HAVP antivirus 0.90 -
В локальной сети червь?
-
Уже весь мозг сломал в его поимках. Однако заразу обнаружить не смог… В общем рекоммендуете лечиться?
-
Уже весь мозг сломал в его поимках. Однако заразу обнаружить не смог… В общем рекоммендуете лечиться?
Посмотреть лог states, позвонить прову, спросить на счёт сетевой аномалии (у меня один офис по 53 порту ддосил)
-
На LAN запретить всё, разрешить только нужное. И лечиться, лечиться, лечиться…
-
to Evgeny - имеете ввиду запретить все PFом? дык TCP траффик все равно не запретить (нужен он мне), а проблема именно в нем.
Всем спасибо, пока проблема видимо решена - зараза изловлена, и видимо рано отказываться от фаервола на локальных машинах. -
Что нашли, рассказывайте. Да и зачем ВЕСЬ TCP ? неужто торрентами балуйтесь?
-
Итак, радость оказалась преждевременной. Блокировка моего IP продолжается. Забыл упомянуть в первый раз, но после заблокирования веб-морда умирает, чаще всего оживает через минуту, однако не всегда. За чистоту локалки от вирусов ручаюсь, более того, пробывал отключать все машины от пфсенса и подрубать чистый ноут, проблема при серфе сохраняется. По косяку нарыл в инете крохи, на форуме нашел лишь это:
http://forum.pfsense.org/index.php?topic=20137.msg103748Может мне кто-нибудь сказать о чем они там, ибо ответов не увидел. Хочу понять наконец что происходит и куда копать…
-
Мне начинает казаться, что досит меня стрим…
-
http://forum.pfsense.org/index.php?topic=20137.msg103748
Может мне кто-нибудь сказать о чем они там, ибо ответов не увидел. Хочу понять наконец что происходит и куда копать…
Советуют запретить/подавить gen_id 122, sig_id 7
-
Путем общения с ребятами со стрима выяснили, что осуществляется атака на мою сетку. Рекомендуют подойти к защите более основательно ??? … Не вполне понял их подход, однако необходимо что-то думать. Сегодня основным виновником моих проблем стал:
http://www.programmer.lt/en/whois/?q=74.125.43.139
http://www.programmer.lt/en/whois/?q=205.188.95.152
очень странно..."Советуют запретить/подавить gen_id 122, sig_id 7" - это как и где?
-
A pri chem tut stream? Sam zapusti tcpdump na WAN I glyadi, kto tebya dosit. Esli tol'ko s odnogo ip, to zvoni provideru I napryagay ego razbirat'sya.
Nastroyki v snort'e ochevidno -))) -
В день 5-7 айпишников разных. Все есть проксики как я полагаю.
-
Eto melochi. Privykay…
-
В день 5-7 айпишников разных. Все есть проксики как я полагаю.
А у тебя пинг на твой внешний адрес разрешен? Иногда бывает полезно его запретить.
А Какие внешние сервисы у тебя доступны из-вне ? -
Я не сильно переживаю относительно атак, меня достало пропадание инета.
Покажите как запретить gen_id 122, sig_id 7, а пока я пошел читать что это такое. :-[ -
Ок, нашел как подавлять и запрещать :o Вы уж не кидайтесь тапками, я только учусь ;)
-
-
Снова прошу ткнуть носом в проблему, найти решение которой не получается, главным образом по причине непонимания предпосылок блокировки. Итак проблема такова, что в один прекрасный момент пропадает инет. Snort при этом говорит в алертах:
# PRI PROTO DESCRIPTION CLASS SRC SPORT FLOW DST DPORT SID Date
1 3 PROTO:255 (portscan) TCP Filtered Portsweep Prep 85.140.53.153 empty -> 62.105.135.103 empty 122:7:0 06/14-10:50:42при этом в блок листе появляется запись
(portscan) TCP Filtered Portsweep 85.140.53.153
системлог пишет:
snort[28576]: [122:7:0] (portscan) TCP Filtered Portsweep [Priority: 3] {PROTO:255} 85.140.53.153 -> 62.105.135.103
snort[28576]: [122:7:0] (portscan) TCP Filtered Portsweep [Priority: 3] {PROTO:255} 85.140.53.153 -> 62.105.135.103адрес 85.140.53.153 (изменен) - это адрес предоставленный мне провайдером по DHCP.
При этом у меня режутся все исходящие соединения в глобал, до удаления адреса из блоклиста, но при этом работает менеджер закачек, продолжающий закачки. Игра с рулесами снорта не помогла.
Понимаю интуитивной задней частью, что решение на поверхности и где-то я туплю, однако не понимаю в чем дело и куда копать. Со снортом заморочился совсем недавно, потому прошу помощи у мозговитых товарищей.
PfSense 1.2.3-RELEASE
snort 2.8.6 pkg v. 1.27
squid 2.7.8_1
squidGuard 1.3-2
HAVP antivirus 0.90У меня та же проблема.
И все зависит от тебя, а точнее от твоего IP: статический он или динамический.
Если статика значит тебе повезло - закидываешь в Whitelists свой IP и IP шлюза.
Если динамический - 2 варианта:
1. Угадывать когда будет сменятся сесия и отключать Snort потом добавлять новый IP в Whitelists потом включать snort.
2. Убать из категорий snort_icmp.rules, snort_icmp.so.rules, snort_icmp-info.rules и возможно(непомню) snort_scan.rules(и иногда мой провайдер сканирует порты так что и антисканирование портов придется вырубить). Да, эффективность понизится snortа очень сильно, но увы..:-
3. Отключить snort вообще :'( -
Спасибо, добрый человек. У меня динамика, т.к. стрим. Проблема действительно в активном оборудовании провайдера видимо. Но подозреваю еще http_inspect. Кстати, мой снорт часто не видит вайтлисты до перезапуска. В логах чисто. А сейчас после переустановки пакета не хочет обновлять рулесы - говорит можно только раз в 15 минут, а сколько не жди - одна песня.