Freesco, NND, CDN, EOS

Mam następujące pytanie:

Przekierowałem kilka portów na komputer w sieci wewnętrznej, gdzie stoi serwer ftp (komp który nie ma dostępu do niczego, on robi tylko za ftpa). Problem jest taki że pojawił mi się kombinator, który z kilku IP cały czas coś cuduje. Nie jest to zbyt duży problem, bo serwerek jest w miarę dobrze skonfigurowany (BulletProof FTP Server), i zasadza bana po kilku próbach kombinowania, no ale pozostają jeszcze tony wpisów w logach i na ekranie widać dziesiątki połączeń z IP tego kolesia w ciągu minuty. Nie mówiąc już o tym że blokuje możliwość połączenia innym w tym czasie i samym kombinowaniem w jakimś stopniu obciąża mi łącze. Pomyślałem sobie że strzelę kolesiowi bana na firewallu freesco (z poziomu panelu admina), no i tak zrobiłem, ale to nie rozwiązało problemu - wiem że nie działa mu moja strona www (bo tam też kombinował), ale na ftp jak mógł się dostać tak nadal może. Czy przypadkiem nie jest tak że ban nie dotyczy forwardowanych portów, i mimo bana nadal można się na nie łączyć ? Czy też może ja już mam za dużo namięszane i czas przywrócić domyślne ustawienia i zacząć od poczatku konfigurację firewalla ?

raczej nie.
podaj jaka regule wpisales. jego adres IP, przez co masz inet.

Freesco 0.2.7/ SDI

banika daje standardowo z panelu admina, i na pewno dobrze bo robilem to nie raz i mam wprawe %-)
No i glajsko zabanowalo goscia, dostepu do www np. nie ma zadnego w ogole zadnej odpowiedzi z serwera, ale na przekierowany port gdzie siedzi FTP nadal bez problemu wlazi.

Czy w ogole bany na firewallu powinny odcinac tez przekierowane porty ? Bo moze tak byc ze ja juz pomieszalem dokladnie w plikach, maja z rok czasu a troche w nich kombinowalem.

W/g mojej wiedzy najpierw jest firewall a potem przekierowanie.
Sprawdz czy w /rc/rc_user i skryptach w /rc/rcuser/rc_* nie masz odblokowanego portu 21 dla wszystkich
wpisz w konsoli:

21 jest zablokowany a ftp mam na 84 (przekierowane porty 83/84).
Chyba przywrócę część skryptów do oryginalnych wersji i dalej będę kombinował.

A IP tego kolesia: 150.254.145.158 i 150.254.145.157 i jeszcze chyba jakieś inne ma.

IMHO
ipfwadm -I -i reject -S 150.254.145.0/24
Bo deny nie odpowiada nic kolesiowi, a reject odpowie mu żeby jego komp spadał na drzewo.

_________________
RaaDaaR
http://www.freesco.internetdsl.pl

Hehe właśnie to opanowałem, miałem zamot w skryptach i coś słabo działało.
W każdym razie gostek na ftpa nie wchodzi (nie wiem dlaczego %-), wczoraj cały dzień pingował mnie i czaił czy mam komp wyłączony, jak zdjąlem mu na moment blokadę to od razu próbował się wciskać na ftpa
A co do sposobu banowania: według mnie lepsze jest 0 odpowiedzi niż mówienie komuś że ma na drzewo spadać,


Z tego co widzę w rc_masq jest metoda "spadaj na drzewo użyta, czy można by sobie to reject zamienić na deny bez żadnych szkód ?

I jeszcze drobne pytanko: jak np. firewall odrzuca połącznie do samby to do jest to w logach, co zrobić żeby to samo było z połączeniem do ftpa ?

Źle wyżej napisałem - chodzi mi o to czy da się coś zrobić żeby w logach było widać próby wejścia ze zbanowanych adresów.

-o na końcu regułki, pakiety pasujące do tej reguły są zapisywane w logu jądra.

Poczytaj
http://zciech.w.interia.pl/

_________________
RaaDaaR
http://www.freesco.internetdsl.pl

Hm, a jak dopiszę to -o w regułkach tego fragmentu rc_masq który wkleiłem to się coś nie skwasi od tego ?
Albo w sumie już sprawdzam %-)

A dopisałem to -o i działa elegancko. Dorobiłem sobie jeszcze przesyłanie logów mailem przy użyciu tail i folderu Submitted w CommuniGate i jest glajsko.