Jak nastavit firewall tak, aby blokoval jakýkoliv přístup z konkrétní adresy z internetu?
Sorry … moje chyba - chybné tvrzení …
A co použít AdBlock? xxxxxxxxxxxxxxxxxxxxxxxxxx
=== Edit
Je to trochu nesmysl — protože obecně jsou všechny nepřesměrované porty do WAN zavřené. Ž8dná externí IP nemá bez povolení přístup k routeru. Opravdu je požadavek @motas666 nejasný.
adblock balík blokuje jména (směrem ven), to se řekněme od blokování adres směrem ven nemusí tak moc lišit. Ale směr dovnitř mi přijde jako něco dost jiného a tam nevidím jak by adblock nebo něco podobného pomohlo, tam to vidím na nastavení firewallu… i když z té formulace jsem si dost nejistý o co autorovi vlákna vlastně jde.
Upřesním. Stále z jedné IP adresy mi přicházejí pokusy na přihlášení k Home Assistant, který běži na PRBpi v síti za turrisem. Chci ji prostě odříznout. Je mi jasné, že se objeví další pokus z jiné adresy …
Tzn. máš pro Home Assistant forward pravidlo ? … tak si přidej obdobné - které nasměruješ do prázdna a zařadíš ho před základní pravidlo
Příklad
- wan IP 93.91.50.207 port 8123 - do lan port 9999 192.168.1.xxx (neexistující IP
a nesmyslný port) - wan, všechny IP, port 8123 - do lan port 8123, 192.168.1.110
Neexistující zařízení v LAN — přiřadíš IP neexistující MAC adrese.
Jako pravidlo ve firewall by to šlo určitě elegantněji … zahodit provoz z wan IP adresy
Super. Děkuji. Přesměruju to na emulovanou službu k zachytávání útoků na Turrisu
Nejsem si jist, to bych neuměl přesměrovat na proxy haas …
Je vůbec potřeba, aby to bylo přesměrovaný z venku přímo na RPi ? Není lepší to nechat všechno bloklý a připojovat se z venku pomocí VPN ? Nemám sice HomaAssistent, ale mám na RPi Domoticz a přistupuji do něj přes VPN a nemusím řešit nějaké pokusy o připojení, které vidím v HAAS. Jediné, co mám puštěné přímo je TS3 na RPi.
zdar borci, neslo by to zariadit elegantnejsie - vytvorit IP blacklist WAN skupinu do ktorej by sa hadzali IP (idealne ak by to feedovalo z abuseipdb ale to je len napad) z ktorej by bol reject/drop (traffic rule) uz na vstupe do zariadenia nech automaticky blokuje porty/protokoly z pochybnych zdrojov zvonku … bezne mam do 20 pokusov unikatnych IP denne na VPN port zvonku, bolo by dobre sa branit aktivnejsie vdaka !
podobny dotaz padl i v Automatically blocking botnet scanners from a subnet? (teoreticka idea je asi takova, ze se parsuje massags/iptables log a podle logiky uspechu/neuspechu/pocet-pokusu-za-minutu se vyhodnoti jestli takove IP/MAC presmerovat v ramci traffic rules do cerne diry…, technicky sam netusim ale taky bych asi ocenil nejaky “blacklist” fajl, kam bych mohl zapsat co chci aby se zahazovalo rovnou na wan interfejsu.
… to ze nekdo bude otukavat muj router je tak nejak ocekavatelne, robotu, botnetu a scriptkidies se neda zbavit genericky. V tomto smeru se da spis predpokladat, ze budou zkouset vicero sluzeb a proste za nejakou dobu narazej na nejakej honeypot a budou vyhodnoceni jako nezadouci (a pristanou v update firewall pravidel automaticky – zvlast pokud to neni vlk samotar co se zrovinka zameril jen na ten jeden konkretni stroj…)
openvpn zaznamenava hodne pokusu o handshake pres TLS (ktere je v zakladu vypnuto), takze v podstate jakykoliv pokus vzdy skonci neuspechem … kdysi jsem resil jak to filtrovat ( v ramci logu at se zbytecne neplni a/nebo i rovnou dropovat trafik takovych pokusu ) ale pak mi to prislo prave kontraproduktivni kdyz mam pustenou “suricatu” co analyzuje iptables log
… U vpn obvykle dost pomuze kdyz se sluzba neprovozuje na default portu ale na nejakem jinem (pokud to lze samozrejme) …
Není na to projekt Ludus?
Je , prave proto jsem se nakonec na to “filtrovani logu” vykaslal a “drop packetu” jsem ani neresil.
poznamka_k_iptables_logu
A namisto toho jsem resil proc po prvni iteraci (co kazdych 15min) nikola.sh (pres cron) dojde k tomu, ze iptables soubor zeje prazdnotou (a dmesg buffer je smerovan plne do messages). Kvuli tomu jsem musel zmenit “postrotate” v /etc/logrotate.d/iptables
tak aby otacel cely syslog-ng namisto jen toho conf.d pro nikolu(kterej pusti jen postrotate pro iptables)
Dokážeš tu IP identifikovat?