Dynamiczne listy .



  • Witam Was.
    Mam pytanko.
    Czy pfsense posiada takie cudo jak tworzenie dynamicznych list  ip ?
    Chodzi mi o taki fiuczer jak w mt. Jezeli wystąpi jakies zdazenie to ip uzytkownika ktory wywołał to zdarzenie zostanie dodany do dynamicznej listy. 
    Moze na przykładzie mikrotika :
    /input add action=drop chain=input comment="ssh logowanie " dst-port=22 protocol=tcp src-address-list=ssh timeout=00:01:00

    jezeli ktos bedzie logowal sie na port 22  to jego ip zostanie dodany do dynamicznej listy na jedną minutę .



  • Zachodzę w głowę po jakiego to potrzebne skoro i tak port jest wystawiony na świat. A portu ssh proponuję nie wystawiać, chyba że dla konkretnych adresów IP.
    Osobiście proponuję VPN.

    Możesz podać praktyczne zastosowanie dynamicznych list?



  • podałem tylko dla przykładu port ssh . chociaz i tak akurat w przypadku ssh uzywam tego w drabince trzy stopniowej . pierwsze logowanie po ssh  łapie do dynamicznej adres listy na minute.  jezeli w ciagu tej minuty nastapi ponowne logowanie z tego ip na ssh  reguła łapie wpis do dynamicznej listy na 5 minut.  kolejne logowanie ssh  łapie juz na tydzien i dropuje .  uzywam takze dynamicznej listy ip  do torrentow.  filtry wykrywa uzytkownika ktory uzywa torrentów za pomocą Layer 7  . i jest on w dynamicznej liscie na minute.  kolejna regula mangle  jezeli wykryje tego torrenciarza na portach udp  różnych od tych ktore zmanglowane sa niżej wrzuca go do najnizszej kolejki gdzie ruch kolejki przyciety jest dla calej klasy adresowej . mowa oczywiscie o mt .



  • W PF nie ma takiej funkcji, albo po tylu latach jeszcze jej nie odkryłem. Ale na 95% nie ma.