Проброс портов, pfBlockerNG, GeoIP
-
Добрый.
Можно скрин правил fw на WAN?
Вот пример, но тут путаница с тем кому принадлежит IP 93.170.210.106, некоторые сервера считают что это Австралия, а некоторые что это Узбекистан, по крайней в списке адресов Узбекистана есть CIDR 93.170.208.0/22 куда входит спорный IP
Ни то и ни другое. Чехия, например :) https://bgp.he.net/AS43533#_prefixes Перипетии регистрации компании-владельца AS (?)
Upd. Все верно. bgp.he.net (снова) не подвел (за что в закладках уж лет 5 и живет). Чехия - http://www.ipdeny.com/ipblocks/data/aggregated/cz-aggregated.zone (93.170.0.0/15)
Upd2.
Имеется IP (178.175.251.31) Молдова, стране разрешён доступ, в alias имеется CIDR 178.175.192.0/18 куда входит данный IP, но пока явно не укажешь этому IP разрешение или же не уберёшь вообще ограничение по странам, этот IP не может попасть на мой сервер.
Не суть важно, но для порядку диапазон 178.175.128.0/17 судя по http://www.ipdeny.com/ipblocks/data/aggregated/md-aggregated.zone
Попробуйте обойтись без пфблокера и руками создать ip list-ы необходимых вам стран в Алиасах пф, основываясь на http://www.ipdeny.com/ipblocks . После использовать их в правилах fw. В Алиасах должен быть тип для этого, подтягивающий список ip по url автоматом.
После создания правил еще бы Reset states сделать для чистоты эксперимента.
-
Хмм…, хорошо, попробую сегодня глянуть, просто у меня уже был pfBlockerNG, он вроде тоже и обновлять CIDR стран позволяет (свои предоставляет), про ваш сайт я не знал, потому и решил не мучаться и работать с тем что есть.
UPD
Неа, с alias через url с вашего сайта тоже самое, этот IP не может зайти, то есть ничего не изменилось.
Вот скрин FW для основного канала, резервные настроены аналогично:
Там как alias ещё указан старый список, но с новым скрин не измениться.
-
Добрый.
Мил человек, а чего Dst в правиле Any ? По всем правилам там должен быть WAN addr.Cкрин правил fw на WAN, пож-та. Всех. А не тот кусочек, что вы показали, т.к. даже в нем есть ошибка.
-
Добрый.
Мил человек, а чего Dst в правиле Any ? По всем правилам там должен быть WAN addr.Cкрин правил fw на WAN, пож-та. Всех. А не тот кусочек, что вы показали, т.к. даже в нем есть ошибка.
Мил человек…, даже если это и ошибка..., но это правило работает уже более 2 лет, конечно я могу поправить (и скорее всего поправлю).
Вот вам общая закладка Port Forwading.
Если я чего то не до понял и не то показал, уточняйте.
-
Cкрин правил fw на WAN-ах. Третий и последний раз. Что ж так туго-то :'(
-
Cкрин правил fw на WAN-ах. Третий и последний раз. Что ж так туго-то :'(
Звиняй, туплю что-то :)
Вам общий скрин Firewall-Rules-Wan или конкретно на проброшеные правила ? -
общий скрин Firewall-Rules-Wan
-
Вот
-
Желтым - правила откл, выделенное красным - объясните для чего ? А впрочем не объясняйте - откл. и его.
И еще. Есть ли правила во Флоатинг рулез? Если есть - скрин.
У вас же 2 ВАНА ? На 2-ом - такая же "красота"? Исправляйте и на нем.После всех правок - Reset states. Обязательно.
![2018-03-02 17_15_38.png](/public/imported_attachments/1/2018-03-02 17_15_38.png)
![2018-03-02 17_15_38.png_thumb](/public/imported_attachments/1/2018-03-02 17_15_38.png_thumb) -
Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже, там в Адвансах ограничение на кол-во соединений по TCP, на предмет если будут DDOS-ить на какой то порт который я забыл закрыть, страховка на всякий случай.
Да на втором канале такая же фиговина, но там эти правила выключены.Вот правила Float:
-
Все правила во флоатинг, созданные руками - откл. У вас там - каша. Сперва с обычными разберитесь, а вас уже во флоатинг понесло. У них и специфика работы - особенная.
Не создавайте там ничего руками.Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже
страховка на всякий случай.
И вот без этого тоже. Для пф правила - это явный и четкий посыл к действиям. Ему вы "страховка, всякий случай, потом откл\вкл и т.д." не объясните.
Создавайте и вкл. только правила, к-ые действительно необходимы в данный момент.Таким образом, у вас останутся правила, созданные пфблокер-ом + правила портфорвардинга. Проверяете это. Перезагружаете пфсенсе. Ждете атаки.
-
Все правила во флоатинг, созданные руками - откл. У вас там - каша. Сперва с обычными разберитесь, а вас уже во флоатинг понесло. У них и специфика работы - особенная.
Не создавайте там ничего руками.Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже
страховка на всякий случай.
И вот без этого тоже. Для пф правила - это явный и четкий посыл к действиям. Ему вы "страховка, всякий случай, потом откл\вкл и т.д." не объясните.
Создавайте и вкл. только правила, к-ые действительно необходимы в данный момент.Таким образом, у вас останутся правила, созданные пфблокер-ом + правила портфорвардинга. Проверяете это. Перезагружаете пфсенсе. Ждете атаки.
Уважаемый, там просто избыточные правила, я знаю что по сути PF и так заблокирует весь трафик идущий на не открытый порт, уж поверьте, в 90 случаях из 100 там блокируется или фильтруется трафик идущий на некоторые периодически открываемые порты, так что всё нормально, и вообще если вы не забыли то эта темы не об атаках на TS, а об том что не пропускаются некоторые IP хотя они есть в разрешённых.