Dynamiczne listy .
-
Witam Was.
Mam pytanko.
Czy pfsense posiada takie cudo jak tworzenie dynamicznych list ip ?
Chodzi mi o taki fiuczer jak w mt. Jezeli wystąpi jakies zdazenie to ip uzytkownika ktory wywołał to zdarzenie zostanie dodany do dynamicznej listy.
Moze na przykładzie mikrotika :
/input add action=drop chain=input comment="ssh logowanie " dst-port=22 protocol=tcp src-address-list=ssh timeout=00:01:00jezeli ktos bedzie logowal sie na port 22 to jego ip zostanie dodany do dynamicznej listy na jedną minutę .
-
Zachodzę w głowę po jakiego to potrzebne skoro i tak port jest wystawiony na świat. A portu ssh proponuję nie wystawiać, chyba że dla konkretnych adresów IP.
Osobiście proponuję VPN.Możesz podać praktyczne zastosowanie dynamicznych list?
-
podałem tylko dla przykładu port ssh . chociaz i tak akurat w przypadku ssh uzywam tego w drabince trzy stopniowej . pierwsze logowanie po ssh łapie do dynamicznej adres listy na minute. jezeli w ciagu tej minuty nastapi ponowne logowanie z tego ip na ssh reguła łapie wpis do dynamicznej listy na 5 minut. kolejne logowanie ssh łapie juz na tydzien i dropuje . uzywam takze dynamicznej listy ip do torrentow. filtry wykrywa uzytkownika ktory uzywa torrentów za pomocą Layer 7 . i jest on w dynamicznej liscie na minute. kolejna regula mangle jezeli wykryje tego torrenciarza na portach udp różnych od tych ktore zmanglowane sa niżej wrzuca go do najnizszej kolejki gdzie ruch kolejki przyciety jest dla calej klasy adresowej . mowa oczywiscie o mt .
-
W PF nie ma takiej funkcji, albo po tylu latach jeszcze jej nie odkryłem. Ale na 95% nie ma.