Omezení logování

[fblaha]

Dobrý den,
potřeboval bych radu ohledně omezení logování.Už několikátý den se u mně kdosi z Francouzské IP snaží o jakýsi podivný DOS. TCP SYN, postupně porty 1-10000, vždy dva pokusy z sekundu, potom dá 4 sekundy pokoj a pokračuje dalším portem. A do zblbnutí dokola už třetí den.
Problém není v zablokování. Tenhle má utrum asi doživotně.
Problém je v logování. Rád bych se v logu dozvěděl, že se ZASE on (a jemu podobní) o něco pokouší, ale nerad bych měl log zaplácaný desítkami tisíc řádků. Stačí záznam jednou za hodinu - pokud se začal snažit.
Potřeboval bych poradit s pravidlem (prvním)

Kód: Vybrat vše

add action=log chain=input in-interface=GW log=yes log-prefix=DOS_input src-address-list=DOS
add action=drop chain=input in-interface=GW src-address-list=DOS
 

a rozšířit ho o nějaký limit. Jenomže nějak nevím, jak to udělat, aby mi to opravdu vypisovalo jenom poprvé za hodinu a potom už nic. A to bez ohledu na to, o jaký port se momentálně ten co je v seznamu DOS snaží.

Děkuji

[ef]

Přidej do log pravidlo a to v scheduleru zapínej a vypínej.

[fblaha]

Nerozumíme si. Já nechci pravidlo spustit jednou za hodinu.
Já chci zalogovat pouze první pokus o připojení a pokud bude dotyčný otravovat déle (jakože tenhle pořád),tak mi stačí každou další hodinu pouze zpráva zase (resp. pořád ještě) otravuje.

[Dalibor Toman]

v nastaveni firewall pravidla v zalozce Extra muzes pouzit:
- Limit
- Nth
- pripadne i Time

[fblaha]

v nastaveni firewall pravidla v zalozce Extra muzes pouzit:
- Limit
- Nth
- pripadne i Time

Ano, to vím, jenomže mi to ,,akosi" nepremáva. Logování si dělá co chce. Wiki na mikrotiku sice zmiňuje u firewallu možnosti dst-limit, a limit (time nepřipadá v úvahu), ale c čímkoliv si hraji, stejně si logování dělá co chce

[ludvik]

přijde-li paket se src dle DOS address-listu, odskok do extra chainu.
Tam loguj jen pakety, co nemají src v address-listu řekněme DOS_LOG.
Pak return pro adresy co v DOS_LOG už jsou.
Na třetím řádku v tomto chainu zapiš tuto IP do DOS_LOG s timeoutem hodina.

[fblaha]

přijde-li paket se src dle DOS address-listu, odskok do extra chainu.
Tam loguj jen pakety, co nemají src v address-listu řekněme DOS_LOG.
Pak return pro adresy co v DOS_LOG už jsou.
Na třetím řádku v tomto chainu zapiš tuto IP do DOS_LOG s timeoutem hodina.

Jasně, děkuji za nakopnutí. Je to sice takové škrábání se levou rukou na pravé uchu, maje levou ruku provlečenou pod pravou nohou, ale v MK asi nic jiného nepůjde.
Asi to bude vypadat nějak takhle:

Kód: Vybrat vše

add action=drop chain=input in-interface=GW src-address-list=DOS_LOG_AKTIVNI
add action=jump chain=input in-interface=GW src-address-list=DOS jump-target=DOS_LOG

add action=log chain=DOS_LOG log=yes log-prefix=DOS_inp
add action=add-src-to-address-list chain=DOS_LOG address-list=DOS_LOG_AKTIVNI address-list-timeout=1h
add action=drop chain=DOS_LOG


Zatím jsem si to napsal na kus papíru, zatím jsme to ještě netestoval.

Děkuji za pomoc.

[maetoo]

Máš už pravidla otestovane, funguju?

[fblaha]

Funguje naprosto bezchybně.