forum.opennet.ru - "Поиск хакера" (16)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Поиск хакера"

Форум Информационная безопасность (Firewall и пакетные фильтры / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Поиск хакера"	+/–
Сообщение от dvital (ok) on 03-Июл-11, 21:37
Здравствуйте! Передо мной встала такая проблема: есть сервер, трафик через который гонится несколькими юзерами (они работают под VPN: openvpn и pptpd). Кто-то из них начал баловаться подбором паролей к какому-то иностранному серверу. К нам соответственно пришла абуза... Очень хочется найти этого нехорошего юзера и наказать. Выход, как мне кажется, в логгировании многократного обращения к одному и тому же хосту. Но т.к. я крайне начинающий админ, мне трудно понять как сделать правильный конфиг для iptables для решения этой проблемы. В итоге мне нужно чтобы в логи попадал реальный ip юзера. Может у опытных админов есть свои решения этой задачи.
Ответить \| Правка \| Cообщить модератору

Оглавление

Поиск хакера, ВпадлуЛогиниться, 09:23 , 04-Июл-11, (1)

Поиск хакера, dvital, 09:27 , 04-Июл-11, (2)

Поиск хакера, apach, 13:00 , 04-Июл-11, (3)

Поиск хакера, dvital, 13:04 , 04-Июл-11, (4)

Поиск хакера, Дядя_Федор, 15:12 , 04-Июл-11, (5)

Поиск хакера, dvital, 19:52 , 04-Июл-11, (6)

Поиск хакера, Дядя_Федор, 21:27 , 04-Июл-11, (8)

Поиск хакера, dvital, 22:03 , 04-Июл-11, (11)

Поиск хакера, Дядя_Федор, 12:16 , 05-Июл-11, (14)
Поиск хакера, Junior, 13:30 , 13-Июл-11, (15)

Поиск хакера, Дядя_Федор, 23:43 , 13-Июл-11, (16)

Поиск хакера, dvital, 08:42 , 05-Июл-11, (13)

Поиск хакера, dvital, 19:54 , 04-Июл-11, (7)

Поиск хакера, Дядя_Федор, 21:28 , 04-Июл-11, (9)

Поиск хакера, dvital, 22:01 , 04-Июл-11, (10)

Поиск хакера, Aleks305, 00:36 , 05-Июл-11, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. "Поиск хакера" +/–

Сообщение от ВпадлуЛогиниться on 04-Июл-11, 09:23

>[оверквотинг удален]
> Передо мной встала такая проблема: есть сервер, трафик через который гонится несколькими
> юзерами (они работают под VPN: openvpn и pptpd). Кто-то из них
> начал баловаться подбором паролей к какому-то иностранному серверу. К нам соответственно
> пришла абуза...
> Очень хочется найти этого нехорошего юзера и наказать.
> Выход, как мне кажется, в логгировании многократного обращения к одному и тому
> же хосту. Но т.к. я крайне начинающий админ, мне трудно понять
> как сделать правильный конфиг для iptables для решения этой проблемы.
> В итоге мне нужно чтобы в логи попадал реальный ip юзера.
> Может у опытных админов есть свои решения этой задачи.
Если вы хотите отслеживать подозрительную активность с помощью netflow, могу дать примеры использования модулей recent и hashlimit.
Однако в вашем случае, лучше тупо воспользоваться netflow и собирать где-нибудь этот трафик, чтобы потом с лёгкостью вычислить с какого over-VPN-адреса ломиться злоумышленник. А так же вести логи, кто в какое время из под какого адреса сидел.
У вас производится NAT-ирование? Клиентские over-VPN-адреса динамические или статические?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Поиск хакера" +/–

Сообщение от dvital (ok) on 04-Июл-11, 09:27

>[оверквотинг удален]
>> как сделать правильный конфиг для iptables для решения этой проблемы.
>> В итоге мне нужно чтобы в логи попадал реальный ip юзера.
>> Может у опытных админов есть свои решения этой задачи.
> Если вы хотите отслеживать подозрительную активность с помощью netflow, могу дать примеры
> использования модулей recent и hashlimit.
> Однако в вашем случае, лучше тупо воспользоваться netflow и собирать где-нибудь этот
> трафик, чтобы потом с лёгкостью вычислить с какого over-VPN-адреса ломиться злоумышленник.
> А так же вести логи, кто в какое время из под
> какого адреса сидел.
> У вас производится NAT-ирование? Клиентские over-VPN-адреса динамические или статические?
Клиентские адреса динамические.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Поиск хакера" +/–

Сообщение от apach on 04-Июл-11, 13:00

Тут быстрей дело не в пользователе, а в машине которая заражена, и вирус или бот долбит.
Если машина даже за нат то на удаленном хосте(тот котрый долбают) нат адрес должен быть виден.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Поиск хакера" +/–

Сообщение от dvital (ok) on 04-Июл-11, 13:04

> Тут быстрей дело не в пользователе, а в машине которая заражена, и
> вирус или бот долбит.
> Если машина даже за нат то на удаленном хосте(тот котрый долбают) нат
> адрес должен быть виден.
Нет, дело именно в пользователе.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Поиск хакера" +/–

Сообщение от Дядя_Федор on 04-Июл-11, 15:12

> Клиентские адреса динамические.
Ну дык, наверное, известно - кому конкретно был какой IP присвоен в определенный момент времени? Если да - то в цепочке FORWARD (у Вас ведь она пропускает трафик от VPN-конца пользователя "внаружу") ставите правило, типа:
iptables -I FORWARD -d IP_того_сервера_куды_лезет_пионер-хакер -j LOG --log-prefix "Hack-attempt:"
И в логах потом отлавливаете - с какого IP конца тоннеля ломились. Ну а потом по времени - вычисляете, кому был выдан этот IP в конкретный момент времени.
Вроде так....

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Поиск хакера" +/–

Сообщение от dvital (ok) on 04-Июл-11, 19:52

>> Клиентские адреса динамические.
>  Ну дык, наверное, известно - кому конкретно был какой IP присвоен
> в определенный момент времени? Если да - то в цепочке FORWARD
> (у Вас ведь она пропускает трафик от VPN-конца пользователя "внаружу") ставите
> правило, типа:
> iptables -I FORWARD -d IP_того_сервера_куды_лезет_пионер-хакер -j LOG --log-prefix "Hack-attempt:"
> И в логах потом отлавливаете - с какого IP конца тоннеля ломились.
> Ну а потом по времени - вычисляете, кому был выдан этот
> IP в конкретный момент времени.
> Вроде так....
Не так просто. IP выдаются динамически и какой именно кому выдан мы же не знаем.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Поиск хакера" +/–

Сообщение от Дядя_Федор on 04-Июл-11, 21:27

> Не так просто. IP выдаются динамически и какой именно кому выдан мы
> же не знаем.
Прекрасно. Тода Вы ССЗБ. Двойка по ИТ. Желаю успехов в предоставлении VPN. Когда найдете - как узнать кому, когда и что вы выдали - можете опять вернуться к этой теме. Пока же ситуация для Вас неразрешимая.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Поиск хакера" +/–

Сообщение от dvital (ok) on 04-Июл-11, 22:03

>> Не так просто. IP выдаются динамически и какой именно кому выдан мы
>> же не знаем.
>  Прекрасно. Тода Вы ССЗБ. Двойка по ИТ. Желаю успехов в предоставлении
> VPN. Когда найдете - как узнать кому, когда и что вы
> выдали - можете опять вернуться к этой теме. Пока же ситуация
> для Вас неразрешимая.
Как-то это сильно не автоматически: iptables -I FORWARD -d IP_того_сервера_куды_лезет_пионер-хакер -j LOG --log-prefix "Hack-attempt:"
IP_того_сервера_куды_лезет_пионер-хакер может меняться время от времени и логично, что нужно определить не только кто лезет, но и куда. :)
А так это ручная работа получается.
П.С.: Я не сисадмин. Он так сказать в отпуске, а я просто решаю проблемы.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Поиск хакера" +/–

Сообщение от Дядя_Федор on 05-Июл-11, 12:16

> П.С.: Я не сисадмин. Он так сказать в отпуске, а я просто
> решаю проблемы.
Вы их не "решаете". Вы почему-то решили, что Ваши проблемы должен кто-то решить за Вас. Если у Вас недостаточно знаний (что очевидно) - лучше не пытайтесь ничего "решать". Только порушите то, что было создано другим, более компетентным человеком.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Поиск хакера" +/–

Сообщение от Junior (ok) on 13-Июл-11, 13:30

>>> Не так просто. IP выдаются динамически и какой именно кому выдан мы
>>> же не знаем.
>>  Прекрасно. Тода Вы ССЗБ. Двойка по ИТ. Желаю успехов в предоставлении
>> VPN. Когда найдете - как узнать кому, когда и что вы
>> выдали - можете опять вернуться к этой теме. Пока же ситуация
>> для Вас неразрешимая.
> Как-то это сильно не автоматически: iptables -I FORWARD -d IP_того_сервера_куды_лезет_пионер-хакер
> -j LOG --log-prefix "Hack-attempt:"
Здесь Вам дали пример как по известному целевому серверу для атаки определить
источник проблем. В лиги попадёт его MAC-адрес, зная который уже будет проще отследить
и выявить нарушителя.
> П.С.: Я не сисадмин. Он так сказать в отпуске, а я просто
> решаю проблемы.
Как дополнительную меру профилактики ограничьте количество соединений во вне для
всех, тогда подбор пароля станет совсем непростой задачей. А для серфинга по сети
остальным будет и не заметно ограничений, если конечно Вы не поставите его 1 в минуту
или час. Вам реально дали работающие решения для Вашей ситуации.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Поиск хакера" +/–

Сообщение от Дядя_Федор on 13-Июл-11, 23:43

>В лиги попадёт его MAC-адрес, зная который уже будет проще
> отследить
> и выявить нарушителя.
Если он в одном сегменте L2, разумеется. :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

13. "Поиск хакера" +/–

Сообщение от dvital (ok) on 05-Июл-11, 08:42

> Если вы хотите отслеживать подозрительную активность с помощью netflow, могу дать примеры
> использования модулей recent и hashlimit.
Вы можете дать примеры настройки. Очень интересно.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Поиск хакера" +/–

Сообщение от dvital (ok) on 04-Июл-11, 19:54

>[оверквотинг удален]
> Передо мной встала такая проблема: есть сервер, трафик через который гонится несколькими
> юзерами (они работают под VPN: openvpn и pptpd). Кто-то из них
> начал баловаться подбором паролей к какому-то иностранному серверу. К нам соответственно
> пришла абуза...
> Очень хочется найти этого нехорошего юзера и наказать.
> Выход, как мне кажется, в логгировании многократного обращения к одному и тому
> же хосту. Но т.к. я крайне начинающий админ, мне трудно понять
> как сделать правильный конфиг для iptables для решения этой проблемы.
> В итоге мне нужно чтобы в логи попадал реальный ip юзера.
> Может у опытных админов есть свои решения этой задачи.
А если пойти с другой стороны - запретить открытие большого количества соединений к одному и тому же ip. Есть возможность как-то ограничить в iptables это?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Поиск хакера" +/–

Сообщение от Дядя_Федор on 04-Июл-11, 21:28

> А если пойти с другой стороны - запретить открытие большого количества соединений
> к одному и тому же ip. Есть возможность как-то ограничить в
> iptables это?
Можно. iptables -I FORWARD -d IP_того_сервера -j DROP

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Поиск хакера" +/–

Сообщение от dvital (ok) on 04-Июл-11, 22:01

>> А если пойти с другой стороны - запретить открытие большого количества соединений
>> к одному и тому же ip. Есть возможность как-то ограничить в
>> iptables это?
>  Можно. iptables -I FORWARD -d IP_того_сервера -j DROP
Не хотелось бы писать для каждого ip отдельно. ))

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Поиск хакера" +/–

Сообщение от Aleks305 (ok) on 05-Июл-11, 00:36

>>> А если пойти с другой стороны - запретить открытие большого количества соединений
>>> к одному и тому же ip. Есть возможность как-то ограничить в
>>> iptables это?
>>  Можно. iptables -I FORWARD -d IP_того_сервера -j DROP
> Не хотелось бы писать для каждого ip отдельно. ))
Так не делайте ничего. А то это Вам не хочется, это Вам автоматически. Ждите сисадмина.
А мой совет посмотреть openvpn конфиг и сделать настройку ,чтобы клиенту выдавался постоянный ip(2 строки раскоментировать), а потом уже искать в логах путем настройки соответствующих правил iptables.
Но вам же неохота ничего делать, так что не обращайте внимания!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Поиск хакера"	+/–
Сообщение от ВпадлуЛогиниться on 04-Июл-11, 09:23
>[оверквотинг удален] > Передо мной встала такая проблема: есть сервер, трафик через который гонится несколькими > юзерами (они работают под VPN: openvpn и pptpd). Кто-то из них > начал баловаться подбором паролей к какому-то иностранному серверу. К нам соответственно > пришла абуза... > Очень хочется найти этого нехорошего юзера и наказать. > Выход, как мне кажется, в логгировании многократного обращения к одному и тому > же хосту. Но т.к. я крайне начинающий админ, мне трудно понять > как сделать правильный конфиг для iptables для решения этой проблемы. > В итоге мне нужно чтобы в логи попадал реальный ip юзера. > Может у опытных админов есть свои решения этой задачи. Если вы хотите отслеживать подозрительную активность с помощью netflow, могу дать примеры использования модулей recent и hashlimit. Однако в вашем случае, лучше тупо воспользоваться netflow и собирать где-нибудь этот трафик, чтобы потом с лёгкостью вычислить с какого over-VPN-адреса ломиться злоумышленник. А так же вести логи, кто в какое время из под какого адреса сидел. У вас производится NAT-ирование? Клиентские over-VPN-адреса динамические или статические?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Поиск хакера"	+/–
	Сообщение от dvital (ok) on 04-Июл-11, 09:27
	>[оверквотинг удален] >> как сделать правильный конфиг для iptables для решения этой проблемы. >> В итоге мне нужно чтобы в логи попадал реальный ip юзера. >> Может у опытных админов есть свои решения этой задачи. > Если вы хотите отслеживать подозрительную активность с помощью netflow, могу дать примеры > использования модулей recent и hashlimit. > Однако в вашем случае, лучше тупо воспользоваться netflow и собирать где-нибудь этот > трафик, чтобы потом с лёгкостью вычислить с какого over-VPN-адреса ломиться злоумышленник. > А так же вести логи, кто в какое время из под > какого адреса сидел. > У вас производится NAT-ирование? Клиентские over-VPN-адреса динамические или статические? Клиентские адреса динамические.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Поиск хакера"	+/–
	Сообщение от apach on 04-Июл-11, 13:00
	Тут быстрей дело не в пользователе, а в машине которая заражена, и вирус или бот долбит. Если машина даже за нат то на удаленном хосте(тот котрый долбают) нат адрес должен быть виден.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Поиск хакера"	+/–
	Сообщение от dvital (ok) on 04-Июл-11, 13:04
	> Тут быстрей дело не в пользователе, а в машине которая заражена, и > вирус или бот долбит. > Если машина даже за нат то на удаленном хосте(тот котрый долбают) нат > адрес должен быть виден. Нет, дело именно в пользователе.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Поиск хакера"	+/–
	Сообщение от Дядя_Федор on 04-Июл-11, 15:12
	> Клиентские адреса динамические. Ну дык, наверное, известно - кому конкретно был какой IP присвоен в определенный момент времени? Если да - то в цепочке FORWARD (у Вас ведь она пропускает трафик от VPN-конца пользователя "внаружу") ставите правило, типа: iptables -I FORWARD -d IP_того_сервера_куды_лезет_пионер-хакер -j LOG --log-prefix "Hack-attempt:" И в логах потом отлавливаете - с какого IP конца тоннеля ломились. Ну а потом по времени - вычисляете, кому был выдан этот IP в конкретный момент времени. Вроде так....
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "Поиск хакера"	+/–
	Сообщение от dvital (ok) on 04-Июл-11, 19:52
	>> Клиентские адреса динамические. > Ну дык, наверное, известно - кому конкретно был какой IP присвоен > в определенный момент времени? Если да - то в цепочке FORWARD > (у Вас ведь она пропускает трафик от VPN-конца пользователя "внаружу") ставите > правило, типа: > iptables -I FORWARD -d IP_того_сервера_куды_лезет_пионер-хакер -j LOG --log-prefix "Hack-attempt:" > И в логах потом отлавливаете - с какого IP конца тоннеля ломились. > Ну а потом по времени - вычисляете, кому был выдан этот > IP в конкретный момент времени. > Вроде так.... Не так просто. IP выдаются динамически и какой именно кому выдан мы же не знаем.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "Поиск хакера"	+/–
	Сообщение от Дядя_Федор on 04-Июл-11, 21:27
	> Не так просто. IP выдаются динамически и какой именно кому выдан мы > же не знаем. Прекрасно. Тода Вы ССЗБ. Двойка по ИТ. Желаю успехов в предоставлении VPN. Когда найдете - как узнать кому, когда и что вы выдали - можете опять вернуться к этой теме. Пока же ситуация для Вас неразрешимая.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	11. "Поиск хакера"	+/–
	Сообщение от dvital (ok) on 04-Июл-11, 22:03
	>> Не так просто. IP выдаются динамически и какой именно кому выдан мы >> же не знаем. > Прекрасно. Тода Вы ССЗБ. Двойка по ИТ. Желаю успехов в предоставлении > VPN. Когда найдете - как узнать кому, когда и что вы > выдали - можете опять вернуться к этой теме. Пока же ситуация > для Вас неразрешимая. Как-то это сильно не автоматически: iptables -I FORWARD -d IP_того_сервера_куды_лезет_пионер-хакер -j LOG --log-prefix "Hack-attempt:" IP_того_сервера_куды_лезет_пионер-хакер может меняться время от времени и логично, что нужно определить не только кто лезет, но и куда. :) А так это ручная работа получается. П.С.: Я не сисадмин. Он так сказать в отпуске, а я просто решаю проблемы.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	14. "Поиск хакера"	+/–
	Сообщение от Дядя_Федор on 05-Июл-11, 12:16
	> П.С.: Я не сисадмин. Он так сказать в отпуске, а я просто > решаю проблемы. Вы их не "решаете". Вы почему-то решили, что Ваши проблемы должен кто-то решить за Вас. Если у Вас недостаточно знаний (что очевидно) - лучше не пытайтесь ничего "решать". Только порушите то, что было создано другим, более компетентным человеком.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	15. "Поиск хакера"	+/–
	Сообщение от Junior (ok) on 13-Июл-11, 13:30
	>>> Не так просто. IP выдаются динамически и какой именно кому выдан мы >>> же не знаем. >> Прекрасно. Тода Вы ССЗБ. Двойка по ИТ. Желаю успехов в предоставлении >> VPN. Когда найдете - как узнать кому, когда и что вы >> выдали - можете опять вернуться к этой теме. Пока же ситуация >> для Вас неразрешимая. > Как-то это сильно не автоматически: iptables -I FORWARD -d IP_того_сервера_куды_лезет_пионер-хакер > -j LOG --log-prefix "Hack-attempt:" Здесь Вам дали пример как по известному целевому серверу для атаки определить источник проблем. В лиги попадёт его MAC-адрес, зная который уже будет проще отследить и выявить нарушителя. > П.С.: Я не сисадмин. Он так сказать в отпуске, а я просто > решаю проблемы. Как дополнительную меру профилактики ограничьте количество соединений во вне для всех, тогда подбор пароля станет совсем непростой задачей. А для серфинга по сети остальным будет и не заметно ограничений, если конечно Вы не поставите его 1 в минуту или час. Вам реально дали работающие решения для Вашей ситуации.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	16. "Поиск хакера"	+/–
	Сообщение от Дядя_Федор on 13-Июл-11, 23:43
	>В лиги попадёт его MAC-адрес, зная который уже будет проще > отследить > и выявить нарушителя. Если он в одном сегменте L2, разумеется. :)
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	13. "Поиск хакера"	+/–
	Сообщение от dvital (ok) on 05-Июл-11, 08:42
	> Если вы хотите отслеживать подозрительную активность с помощью netflow, могу дать примеры > использования модулей recent и hashlimit. Вы можете дать примеры настройки. Очень интересно.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

7. "Поиск хакера"	+/–
Сообщение от dvital (ok) on 04-Июл-11, 19:54
>[оверквотинг удален] > Передо мной встала такая проблема: есть сервер, трафик через который гонится несколькими > юзерами (они работают под VPN: openvpn и pptpd). Кто-то из них > начал баловаться подбором паролей к какому-то иностранному серверу. К нам соответственно > пришла абуза... > Очень хочется найти этого нехорошего юзера и наказать. > Выход, как мне кажется, в логгировании многократного обращения к одному и тому > же хосту. Но т.к. я крайне начинающий админ, мне трудно понять > как сделать правильный конфиг для iptables для решения этой проблемы. > В итоге мне нужно чтобы в логи попадал реальный ip юзера. > Может у опытных админов есть свои решения этой задачи. А если пойти с другой стороны - запретить открытие большого количества соединений к одному и тому же ip. Есть возможность как-то ограничить в iptables это?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Поиск хакера"	+/–
	Сообщение от Дядя_Федор on 04-Июл-11, 21:28
	> А если пойти с другой стороны - запретить открытие большого количества соединений > к одному и тому же ip. Есть возможность как-то ограничить в > iptables это? Можно. iptables -I FORWARD -d IP_того_сервера -j DROP
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "Поиск хакера"	+/–
	Сообщение от dvital (ok) on 04-Июл-11, 22:01
	>> А если пойти с другой стороны - запретить открытие большого количества соединений >> к одному и тому же ip. Есть возможность как-то ограничить в >> iptables это? > Можно. iptables -I FORWARD -d IP_того_сервера -j DROP Не хотелось бы писать для каждого ip отдельно. ))
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "Поиск хакера"	+/–
	Сообщение от Aleks305 (ok) on 05-Июл-11, 00:36
	>>> А если пойти с другой стороны - запретить открытие большого количества соединений >>> к одному и тому же ip. Есть возможность как-то ограничить в >>> iptables это? >> Можно. iptables -I FORWARD -d IP_того_сервера -j DROP > Не хотелось бы писать для каждого ip отдельно. )) Так не делайте ничего. А то это Вам не хочется, это Вам автоматически. Ждите сисадмина. А мой совет посмотреть openvpn конфиг и сделать настройку ,чтобы клиенту выдавался постоянный ip(2 строки раскоментировать), а потом уже искать в логах путем настройки соответствующих правил iptables. Но вам же неохота ничего делать, так что не обращайте внимания!
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору