mám na WAN rozhraní RB1100 nastavenou veřejnou IP. Je na ni směrovaný v rámci externí DNS (u registrátora domény) A záznam, pro poštu, přístup na terminal server apod.
Potřeboval bych pomoct s tvorbou pravidla pro detekci robotů. Mám nastavený dst-nat s akcí "log" pro každé připojení, které je natováno dovnitř z portu 3389.
Spojení chodí ve vlnách, v noci každé 2 minuty po dobu cca dvou hodin.
Viděl jsem zde pravidla na detekci spamů v nějakých limitech packetů a počtu spojení, apod, jenže si to netroufnu zkoušet vyrábět z těchto věcí sám.
Pokud bude z nějaké IP adresy víc než třeba dva pokusy o navázání spojení ve 3 minutách, dostane se na blocklist po dobu 30ti minut. Pokud by po těchto 30ti minutách udělal opět 2 pokusy ve 3 minutách, dostal by se na address list, který by tuto IP blokoval permanentně. Těch "útoků" přibývá a raději budu, ručně umazávat IP adresy zaměstnanců, kteří nejsou schopní zadat správně heslo
Pokud by někdo měl nějaký lepší nápad, případně již hotové řešení, budu rád i za nasměrování na nějakou stránku, apod.
Díky, Díky.