classic.ISPforum.cz

Dobrý deň.
V mojej sieti mám emailovy server.
Mám z vonku povolene porty pre imap a smtp.
Daju sa nejekymi pravidlami aspoň nejako zabezpečiť tieto porty?
Najidealnejšie pravidla by boli take, ktoré by bežnú komunikáciu na spomenutých portoch pustli,
ale ak by niekto sa snažil tieto porty nejakým spôsobom zneužiť, by na ne útočil a podobne,
tento typ komunikácie by Mikrotik zablokoval.
Daju sa v Mikrotiku vytvoriť takéto pravidla?

Tady bude problém, jak odlišit normální provoz od útoků.
To je řešitelné spíše na úrovni toto e-mail serveru, který může sledovat např. nepovedené loginy.
Myslím, že na routeru to je utopie.
Mirek

zkus se podívat na Fail2Ban, to by ti mohlo pomoc. Tedy pokud ti běží mail server na linuxu.

L

mirek.k píše:Tady bude problém, jak odlišit normální provoz od útoků.
To je řešitelné spíše na úrovni toto e-mail serveru, který může sledovat např. nepovedené loginy.
Myslím, že na routeru to je utopie.
Mirek

Áno, možno by sa to ľahšie riešilo na urovni emailového servera,
ale tak si myslím, že by MK mohol vedieť spraviť také pravidla,
že z jednej ip adresy pusti napríklad iba 5 spojení a ostatne zablokuje,

alebo ak sa to nedá spraviť na ip adresy,
tak by bolo fajn aspoň to, keby sa dalo nastaviť to, že na daný port pôjde,
napríklad si vymyslím 30 spojení.
Keď sa dosiahne tento limit, ďalšie spojenie na tento port Mikrotik ďalej nepustí.
Niečo takéto by vedel Mikrotik spraviť buď prvým sposbom, alebo druhym spôsobom?
Najviac by mi vyhovoval prvý spôsob, ale ak prvý sposob nevie a druhy by vedel,
môže byť v pohode aj druha varianta.

LadaP píše:zkus se podívat na Fail2Ban, to by ti mohlo pomoc. Tedy pokud ti běží mail server na linuxu. L

Áno, beží mi to na linuxe.
Ja som zastanca linuxu,

Mikrotik samozřejmě umí omezit počet spojení z určité IP adresy na určitý port, ale obávám, že to bude jako ochrana proti útokům k ničemu.

mirek.k píše:Mikrotik samozřejmě umí omezit počet spojení z určité IP adresy na určitý port, ale obávám, že to bude jako ochrana proti útokům k ničemu.

Dobre, možno to nebude úplne 100% ochrana,
ale tak je to určite lepšie riešenie, ako žiadne,
pretože aspoň nepôjde, keď to veľmi preženiem 100 žiadosti na jeden port z jednej ip adresy.
Ako by také pravidlo v rules mohlo vyzerať?
Popripade, dalo by sa to nejako obmedziť aj v priamo v pravidle v NATe,
ktoré slúži na to, aby sa na daný port mohlo pristupovať aj z vonku?

Ak to mas postovy server na hranie, kludne skusaj obmedzovat pocet spojeni na routeri,
ak je to ale aktivny mail server kde bezi nejaka firemna posta urcite take nieco nerob, inak budes riesit preco niekomu nebol doruceny ten a ten mail ktory bol dolezity a sefino nan cakal...

spravne riesenie, ako bolo spomenute, je nastavenie na mail serveri, ak take nieco nevie treba pouzit nejaky predradeny ktory bude sledovat spojenia atd... - najaka spamova pracka a pod. ....