Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Error pfBlocker

    Scheduled Pinned Locked Moved Italiano
    10 Posts 2 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mau9000
      last edited by

      Buongiorno a tutti, mi viene restituito in modo sporadico questo errore:

      [ There were error(s) loading the rules: /tmp/rules.debug:27: cannot define table pfBlockerEurope: Cannot allocate memory - The line in question reads [27]: table persist file /var/db/aliastables/pfBlockerEurope.txt]

      Guardando altri topic, espongono come soluzione l'aumento delle dimensioni da allocare per le tabelle ma andando a vedere le varie tabelle usate, la situazione è questa:

      State table size left barred bargray barright bar
      0% (182/202000)

      MBUF Usage left barred bargray barright bar
      6% (1542/25600)

      Load average
      0.00, 0.01, 0.00

      Memory usage left barred bargray barright bar 
      9% of 2025 MB

      SWAP usage left barred bargray barright bar 
      0% of 4096 MB

      Disk usage left barred bargray barright bar 
      0% of 447G

      Non capisco il perché dia un errore di allocazione, qualcuno di voi sa aiutarmi?? Grazie in anticipo per il supporto

      1 Reply Last reply Reply Quote 0
      • BBcan177B
        BBcan177 Moderator
        last edited by

        Ciao mau9000,

        System: Advanced: Firewall and NAT

        Firewall Maximum Table Entries

        Maximum number of table entries for systems such as aliases, sshlockout, snort, etc, combined.
        Note: Leave this blank for the default.

        FYI

        Codici dei paesi in pfblocker realtà è vecchio. e non dovrebbe essere usato

        "Experience is something you don't get until just after you need it."

        Website: http://pfBlockerNG.com
        Twitter: @BBcan177  #pfBlockerNG
        Reddit: https://www.reddit.com/r/pfBlockerNG/new/

        1 Reply Last reply Reply Quote 0
        • M
          mau9000
          last edited by

          @BBcan17:

          Ciao mau9000,

          System: Advanced: Firewall and NAT

          Firewall Maximum Table Entries

          Maximum number of table entries for systems such as aliases, sshlockout, snort, etc, combined.
          Note: Leave this blank for the default.

          FYI

          Codici dei paesi in pfblocker realtà è vecchio. e non dovrebbe essere usato

          Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
          Che sistema mi consigli di usare in pfblocker??

          Grazie in anticipo

          1 Reply Last reply Reply Quote 0
          • BBcan177B
            BBcan177 Moderator
            last edited by

            @mau9000:

            Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
            Che sistema mi consigli di usare in pfblocker??
            Grazie in anticipo

            Credo che il valore predefinito è 10.000. Così si può salire da lì

            La tabella può essere 10.000 o oltre 1.000.000 o più

            È necessario aggiungere tutto lo Blocklist (IPs) + Snort (tabella snort2c, se si utilizza Snort). Questo ti consente di sapere quale valore da utilizzare per la tavola (Aggiungi certa percentuale extra)

            Ci sono molti blocklists diversi che possono essere utilizzati.

            Sul Forum inglese, ho postato una lista di elenchi dei blocchi che si può usare.

            https://forum.pfsense.org/index.php?topic=73353.msg402927#msg402927

            Scusate il mio italiano come la mia eredità è italiano, ma "Google Translate" è mio amico.  ;)

            "Experience is something you don't get until just after you need it."

            Website: http://pfBlockerNG.com
            Twitter: @BBcan177  #pfBlockerNG
            Reddit: https://www.reddit.com/r/pfBlockerNG/new/

            1 Reply Last reply Reply Quote 0
            • M
              mau9000
              last edited by

              @BBcan17:

              @mau9000:

              Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
              Che sistema mi consigli di usare in pfblocker??
              Grazie in anticipo

              Credo che il valore predefinito è 10.000. Così si può salire da lì

              La tabella può essere 10.000 o oltre 1.000.000 o più

              È necessario aggiungere tutto lo Blocklist (IPs) + Snort (tabella snort2c, se si utilizza Snort). Questo ti consente di sapere quale valore da utilizzare per la tavola (Aggiungi certa percentuale extra)

              Ci sono molti blocklists diversi che possono essere utilizzati.

              Sul Forum inglese, ho postato una lista di elenchi dei blocchi che si può usare.

              https://forum.pfsense.org/index.php?topic=73353.msg402927#msg402927

              Scusate il mio italiano come la mia eredità è italiano, ma "Google Translate" è mio amico.  ;)

              Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??

              1 Reply Last reply Reply Quote 0
              • BBcan177B
                BBcan177 Moderator
                last edited by

                @mau9000:

                Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??

                Vorrei raccomandare queste liste al minimo

                ET
                http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
                http://rules.emergingthreats.net/blockrules/compromised-ips.txt

                Spamhaus
                http://www.spamhaus.org/drop/drop.txt
                http://www.spamhaus.org/drop/edrop.txt

                Abuse Zeus/SpyEye/Palevo
                https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
                https://spyeyetracker.abuse.ch/blocklist.php?download=ipblocklist
                https://palevotracker.abuse.ch/blocklists.php?download=ipblocklist

                dShield
                http://feeds.dshield.org/top10-2.txt

                AlienVault
                https://reputation.alienvault.com/reputation.snort

                CIArmy
                http://www.ciarmy.com/list/ci-badguys.txt

                Altri elenchi di scegliere

                IBlock List  https://www.iblocklist.com/lists.php
                IBlock ha diversi elenchi dei blocchi da scegliere, ma dipende da cosa si vuole raggiungere.

                (queste sono le liste che uso)
                http://list.iblocklist.com/?list=bt_hijacked&fileformat=p2p
                http://list.iblocklist.com/?list=ficutxiwawokxlcyoeye&fileformat=p2p
                http://list.iblocklist.com/?list=ghlzqtqxnzctvvajwwag&fileformat=p2p
                http://list.iblocklist.com/?list=tbnuqfclfkemqivekikv&fileformat=p2p
                http://list.iblocklist.com/?list=bt_spyware&fileformat=p2p
                http://list.iblocklist.com/?list=bt_templist&fileformat=p2p

                Puoi Google Search ciascun sito web blocklist e vedere qual è lo scopo delle liste
                Dalla mia lista originale, io uso tutti.

                nothink è un Blocklist italiano
                http://www.nothink.org/blacklist/blacklist_malware_http.txt
                http://www.nothink.org/blacklist/blacklist_ssh_week.txt
                http://www.nothink.org/blacklist/blacklist_malware_dns.txt

                "Experience is something you don't get until just after you need it."

                Website: http://pfBlockerNG.com
                Twitter: @BBcan177  #pfBlockerNG
                Reddit: https://www.reddit.com/r/pfBlockerNG/new/

                1 Reply Last reply Reply Quote 0
                • M
                  mau9000
                  last edited by

                  @BBcan17:

                  @mau9000:

                  Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??

                  Vorrei raccomandare queste liste al minimo

                  ET
                  http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
                  http://rules.emergingthreats.net/blockrules/compromised-ips.txt

                  Spamhaus
                  http://www.spamhaus.org/drop/drop.txt
                  http://www.spamhaus.org/drop/edrop.txt

                  Abuse Zeus/SpyEye/Palevo
                  https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
                  https://spyeyetracker.abuse.ch/blocklist.php?download=ipblocklist
                  https://palevotracker.abuse.ch/blocklists.php?download=ipblocklist

                  dShield
                  http://feeds.dshield.org/top10-2.txt

                  AlienVault
                  https://reputation.alienvault.com/reputation.snort

                  CIArmy
                  http://www.ciarmy.com/list/ci-badguys.txt

                  Altri elenchi di scegliere

                  IBlock List  https://www.iblocklist.com/lists.php
                  IBlock ha diversi elenchi dei blocchi da scegliere, ma dipende da cosa si vuole raggiungere.

                  (queste sono le liste che uso)
                  http://list.iblocklist.com/?list=bt_hijacked&fileformat=p2p
                  http://list.iblocklist.com/?list=ficutxiwawokxlcyoeye&fileformat=p2p
                  http://list.iblocklist.com/?list=ghlzqtqxnzctvvajwwag&fileformat=p2p
                  http://list.iblocklist.com/?list=tbnuqfclfkemqivekikv&fileformat=p2p
                  http://list.iblocklist.com/?list=bt_spyware&fileformat=p2p
                  http://list.iblocklist.com/?list=bt_templist&fileformat=p2p

                  Puoi Google Search ciascun sito web blocklist e vedere qual è lo scopo delle liste
                  Dalla mia lista originale, io uso tutti.

                  nothink è un Blocklist italiano
                  http://www.nothink.org/blacklist/blacklist_malware_http.txt
                  http://www.nothink.org/blacklist/blacklist_ssh_week.txt
                  http://www.nothink.org/blacklist/blacklist_malware_dns.txt

                  Ti ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??

                  1 Reply Last reply Reply Quote 0
                  • BBcan177B
                    BBcan177 Moderator
                    last edited by

                    @mau9000:

                    Ti ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??

                    Questa è una piccola domanda con una grande risposta!  ???

                    Per cominciare, che cosa gli avvisi vedete nella Snort Alert Tab?

                    Avete SQL server accessibile dall'interfaccia WAN?

                    Hai bisogno di maggiori informazioni.

                    "Experience is something you don't get until just after you need it."

                    Website: http://pfBlockerNG.com
                    Twitter: @BBcan177  #pfBlockerNG
                    Reddit: https://www.reddit.com/r/pfBlockerNG/new/

                    1 Reply Last reply Reply Quote 0
                    • M
                      mau9000
                      last edited by

                      @BBcan17:

                      @mau9000:

                      Ti ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??

                      Questa è una piccola domanda con una grande risposta!  ???

                      Per cominciare, che cosa gli avvisi vedete nella Snort Alert Tab?

                      Avete SQL server accessibile dall'interfaccia WAN?

                      Hai bisogno di maggiori informazioni.

                      Ieri ho installato SNORT ma non idea di come configurarlo per bloccare i tentativi falliti al SQL Server; SQL Server è accessibile da interfaccia WAN

                      Questo è il messaggio restituito dal log di SQL Server:

                      2014-05-17 06:45:45.13 Accesso    Errore: 18456, gravità: 14, stato: 8.
                      2014-05-17 06:45:45.13 Accesso    Login failed for user 'sa'. Motivo: password non corrispondente a quella dell'account di accesso specificato. [CLIENT: 23.234.53.192]

                      Io devo bloccare tutti gli ip che sbagliano la password almeno una volta

                      1 Reply Last reply Reply Quote 0
                      • BBcan177B
                        BBcan177 Moderator
                        last edited by

                        @mau9000:

                        Ieri ho installato SNORT ma non idea di come configurarlo per bloccare i tentativi falliti al SQL Server; SQL Server è accessibile da interfaccia WAN
                        Questo è il messaggio restituito dal log di SQL Server:
                        2014-05-17 06:45:45.13 Accesso    Errore: 18456, gravità: 14, stato: 8.
                        2014-05-17 06:45:45.13 Accesso    Login failed for user 'sa'. Motivo: password non corrispondente a quella dell'account di accesso specificato. [CLIENT: 23.234.53.192]
                        Io devo bloccare tutti gli ip che sbagliano la password almeno una volta

                        primario
                        Se è possibile cambiare la porta di default di 1433 per una porta oscura che sarebbe bene.
                        Si dovrebbe anche cambiare l'account admin predefinito e non usare "SA"
                        Se è possibile ridurre al minimo gli IPs (WAN) che possono collegarsi alla porta SQL dalla WAN.

                        Impostazioni per Snort.

                        Snort:WAN Settings:    Block Offenders
                        Snort:WAN Settings:    Kill States (Both)

                        È necessario configurare un "Alias​​" per IPs del server SQL nelle variabili Snort WAN Interface.
                        Firewall:ALIAS:    aggiungere "SQL_Servers"

                        • Type - HOST, aggiungere tutti gli IPs (Lan) del server SQL, SAVE.

                        Snort:WAN Settings:WAN Variables:Define SQL_SERVERS    - aggiungere "SQL_Servers" alias

                        Se si utilizzano le regole di configurazione di Snort, attivare le "snort_sql.rules"
                        Snort:WAN Categories:    attivare le "snort_sql.rules"

                        Rivedere le regole in questa categoria "snort_sql.rules" per "Brute Force" e consentire a tali regole.

                        –------------------------------

                        È possibile utilizzare il Snort "Port Scanner Pre-Processor" che possa bloccare gli IP che cercano di scansionare il vostro indirizzo WAN, questo è un buon modo primo turno a bloccare i trasgressori.

                        Snort:WAN Settings:WAN Pre-Procs:    Attivare "Portscan Detection"

                        Protocol - All
                        Scan Type - All
                        Sensitivity - Medium
                        Memory Cap - 10000000

                        –-----------------------------

                        Se si dispone di memoria sufficiente, si può anche fare lo stesso sul "Snort LAN Interface". Tipicamente 2-3GB per "Interface"

                        Una volta completate le modifiche, è necessario riavviare il Snort "Interfacce" per applicare le nuove impostazioni.

                        –-----------------------------

                        Monitorare il Snort "Alerts TAB" per vedere le segnalazioni sospette di Falsi Positivi

                        Snort richiede un sacco di tempo per configurare. Ma alla fine aiuterà a proteggere la vostra "Network".

                        Hai bisogno di giocare con le regole "Snort SQL" per vedere quali regole bloccare questi tentativi di forza bruta. Non ho SQL Server esposto sulla WAN così non posso suggerisco quali regole utilizzare esattamente.

                        Questa è una guida inglese "Snort"
                        https://forum.pfsense.org/index.php?topic=61018.0

                        "Experience is something you don't get until just after you need it."

                        Website: http://pfBlockerNG.com
                        Twitter: @BBcan177  #pfBlockerNG
                        Reddit: https://www.reddit.com/r/pfBlockerNG/new/

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.