Error pfBlocker
-
Buongiorno a tutti, mi viene restituito in modo sporadico questo errore:
[ There were error(s) loading the rules: /tmp/rules.debug:27: cannot define table pfBlockerEurope: Cannot allocate memory - The line in question reads [27]: table persist file /var/db/aliastables/pfBlockerEurope.txt]
Guardando altri topic, espongono come soluzione l'aumento delle dimensioni da allocare per le tabelle ma andando a vedere le varie tabelle usate, la situazione è questa:
State table size left barred bargray barright bar
0% (182/202000)MBUF Usage left barred bargray barright bar
6% (1542/25600)Load average
0.00, 0.01, 0.00Memory usage left barred bargray barright bar
9% of 2025 MBSWAP usage left barred bargray barright bar
0% of 4096 MBDisk usage left barred bargray barright bar
0% of 447GNon capisco il perché dia un errore di allocazione, qualcuno di voi sa aiutarmi?? Grazie in anticipo per il supporto
-
Ciao mau9000,
System: Advanced: Firewall and NAT
Firewall Maximum Table Entries
Maximum number of table entries for systems such as aliases, sshlockout, snort, etc, combined.
Note: Leave this blank for the default.FYI
Codici dei paesi in pfblocker realtà è vecchio. e non dovrebbe essere usato
-
@BBcan17:
Ciao mau9000,
System: Advanced: Firewall and NAT
Firewall Maximum Table Entries
Maximum number of table entries for systems such as aliases, sshlockout, snort, etc, combined.
Note: Leave this blank for the default.FYI
Codici dei paesi in pfblocker realtà è vecchio. e non dovrebbe essere usato
Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
Che sistema mi consigli di usare in pfblocker??Grazie in anticipo
-
Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
Che sistema mi consigli di usare in pfblocker??
Grazie in anticipoCredo che il valore predefinito è 10.000. Così si può salire da lì
La tabella può essere 10.000 o oltre 1.000.000 o più
È necessario aggiungere tutto lo Blocklist (IPs) + Snort (tabella snort2c, se si utilizza Snort). Questo ti consente di sapere quale valore da utilizzare per la tavola (Aggiungi certa percentuale extra)
Ci sono molti blocklists diversi che possono essere utilizzati.
Sul Forum inglese, ho postato una lista di elenchi dei blocchi che si può usare.
https://forum.pfsense.org/index.php?topic=73353.msg402927#msg402927
Scusate il mio italiano come la mia eredità è italiano, ma "Google Translate" è mio amico. ;)
-
@BBcan17:
Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
Che sistema mi consigli di usare in pfblocker??
Grazie in anticipoCredo che il valore predefinito è 10.000. Così si può salire da lì
La tabella può essere 10.000 o oltre 1.000.000 o più
È necessario aggiungere tutto lo Blocklist (IPs) + Snort (tabella snort2c, se si utilizza Snort). Questo ti consente di sapere quale valore da utilizzare per la tavola (Aggiungi certa percentuale extra)
Ci sono molti blocklists diversi che possono essere utilizzati.
Sul Forum inglese, ho postato una lista di elenchi dei blocchi che si può usare.
https://forum.pfsense.org/index.php?topic=73353.msg402927#msg402927
Scusate il mio italiano come la mia eredità è italiano, ma "Google Translate" è mio amico. ;)
Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??
-
Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??
Vorrei raccomandare queste liste al minimo
ET
http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
http://rules.emergingthreats.net/blockrules/compromised-ips.txtSpamhaus
http://www.spamhaus.org/drop/drop.txt
http://www.spamhaus.org/drop/edrop.txtAbuse Zeus/SpyEye/Palevo
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
https://spyeyetracker.abuse.ch/blocklist.php?download=ipblocklist
https://palevotracker.abuse.ch/blocklists.php?download=ipblocklistdShield
http://feeds.dshield.org/top10-2.txtAlienVault
https://reputation.alienvault.com/reputation.snortCIArmy
http://www.ciarmy.com/list/ci-badguys.txtAltri elenchi di scegliere
IBlock List https://www.iblocklist.com/lists.php
IBlock ha diversi elenchi dei blocchi da scegliere, ma dipende da cosa si vuole raggiungere.(queste sono le liste che uso)
http://list.iblocklist.com/?list=bt_hijacked&fileformat=p2p
http://list.iblocklist.com/?list=ficutxiwawokxlcyoeye&fileformat=p2p
http://list.iblocklist.com/?list=ghlzqtqxnzctvvajwwag&fileformat=p2p
http://list.iblocklist.com/?list=tbnuqfclfkemqivekikv&fileformat=p2p
http://list.iblocklist.com/?list=bt_spyware&fileformat=p2p
http://list.iblocklist.com/?list=bt_templist&fileformat=p2pPuoi Google Search ciascun sito web blocklist e vedere qual è lo scopo delle liste
Dalla mia lista originale, io uso tutti.nothink è un Blocklist italiano
http://www.nothink.org/blacklist/blacklist_malware_http.txt
http://www.nothink.org/blacklist/blacklist_ssh_week.txt
http://www.nothink.org/blacklist/blacklist_malware_dns.txt
-
@BBcan17:
Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??
Vorrei raccomandare queste liste al minimo
ET
http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
http://rules.emergingthreats.net/blockrules/compromised-ips.txtSpamhaus
http://www.spamhaus.org/drop/drop.txt
http://www.spamhaus.org/drop/edrop.txtAbuse Zeus/SpyEye/Palevo
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
https://spyeyetracker.abuse.ch/blocklist.php?download=ipblocklist
https://palevotracker.abuse.ch/blocklists.php?download=ipblocklistdShield
http://feeds.dshield.org/top10-2.txtAlienVault
https://reputation.alienvault.com/reputation.snortCIArmy
http://www.ciarmy.com/list/ci-badguys.txtAltri elenchi di scegliere
IBlock List https://www.iblocklist.com/lists.php
IBlock ha diversi elenchi dei blocchi da scegliere, ma dipende da cosa si vuole raggiungere.(queste sono le liste che uso)
http://list.iblocklist.com/?list=bt_hijacked&fileformat=p2p
http://list.iblocklist.com/?list=ficutxiwawokxlcyoeye&fileformat=p2p
http://list.iblocklist.com/?list=ghlzqtqxnzctvvajwwag&fileformat=p2p
http://list.iblocklist.com/?list=tbnuqfclfkemqivekikv&fileformat=p2p
http://list.iblocklist.com/?list=bt_spyware&fileformat=p2p
http://list.iblocklist.com/?list=bt_templist&fileformat=p2pPuoi Google Search ciascun sito web blocklist e vedere qual è lo scopo delle liste
Dalla mia lista originale, io uso tutti.nothink è un Blocklist italiano
http://www.nothink.org/blacklist/blacklist_malware_http.txt
http://www.nothink.org/blacklist/blacklist_ssh_week.txt
http://www.nothink.org/blacklist/blacklist_malware_dns.txtTi ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??
-
Ti ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??
Questa è una piccola domanda con una grande risposta! ???
Per cominciare, che cosa gli avvisi vedete nella Snort Alert Tab?
Avete SQL server accessibile dall'interfaccia WAN?
Hai bisogno di maggiori informazioni.
-
@BBcan17:
Ti ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??
Questa è una piccola domanda con una grande risposta! ???
Per cominciare, che cosa gli avvisi vedete nella Snort Alert Tab?
Avete SQL server accessibile dall'interfaccia WAN?
Hai bisogno di maggiori informazioni.
Ieri ho installato SNORT ma non idea di come configurarlo per bloccare i tentativi falliti al SQL Server; SQL Server è accessibile da interfaccia WAN
Questo è il messaggio restituito dal log di SQL Server:
2014-05-17 06:45:45.13 Accesso Errore: 18456, gravità: 14, stato: 8.
2014-05-17 06:45:45.13 Accesso Login failed for user 'sa'. Motivo: password non corrispondente a quella dell'account di accesso specificato. [CLIENT: 23.234.53.192]Io devo bloccare tutti gli ip che sbagliano la password almeno una volta
-
Ieri ho installato SNORT ma non idea di come configurarlo per bloccare i tentativi falliti al SQL Server; SQL Server è accessibile da interfaccia WAN
Questo è il messaggio restituito dal log di SQL Server:
2014-05-17 06:45:45.13 Accesso Errore: 18456, gravità: 14, stato: 8.
2014-05-17 06:45:45.13 Accesso Login failed for user 'sa'. Motivo: password non corrispondente a quella dell'account di accesso specificato. [CLIENT: 23.234.53.192]
Io devo bloccare tutti gli ip che sbagliano la password almeno una voltaprimario
Se è possibile cambiare la porta di default di 1433 per una porta oscura che sarebbe bene.
Si dovrebbe anche cambiare l'account admin predefinito e non usare "SA"
Se è possibile ridurre al minimo gli IPs (WAN) che possono collegarsi alla porta SQL dalla WAN.Impostazioni per Snort.
Snort:WAN Settings: Block Offenders
Snort:WAN Settings: Kill States (Both)È necessario configurare un "Alias" per IPs del server SQL nelle variabili Snort WAN Interface.
Firewall:ALIAS: aggiungere "SQL_Servers"- Type - HOST, aggiungere tutti gli IPs (Lan) del server SQL, SAVE.
Snort:WAN Settings:WAN Variables:Define SQL_SERVERS - aggiungere "SQL_Servers" alias
Se si utilizzano le regole di configurazione di Snort, attivare le "snort_sql.rules"
Snort:WAN Categories: attivare le "snort_sql.rules"Rivedere le regole in questa categoria "snort_sql.rules" per "Brute Force" e consentire a tali regole.
–------------------------------
È possibile utilizzare il Snort "Port Scanner Pre-Processor" che possa bloccare gli IP che cercano di scansionare il vostro indirizzo WAN, questo è un buon modo primo turno a bloccare i trasgressori.
Snort:WAN Settings:WAN Pre-Procs: Attivare "Portscan Detection"
Protocol - All
Scan Type - All
Sensitivity - Medium
Memory Cap - 10000000–-----------------------------
Se si dispone di memoria sufficiente, si può anche fare lo stesso sul "Snort LAN Interface". Tipicamente 2-3GB per "Interface"
Una volta completate le modifiche, è necessario riavviare il Snort "Interfacce" per applicare le nuove impostazioni.
–-----------------------------
Monitorare il Snort "Alerts TAB" per vedere le segnalazioni sospette di Falsi Positivi
Snort richiede un sacco di tempo per configurare. Ma alla fine aiuterà a proteggere la vostra "Network".
Hai bisogno di giocare con le regole "Snort SQL" per vedere quali regole bloccare questi tentativi di forza bruta. Non ho SQL Server esposto sulla WAN così non posso suggerisco quali regole utilizzare esattamente.
Questa è una guida inglese "Snort"
https://forum.pfsense.org/index.php?topic=61018.0
