Микротик fail2-ban mysql
Добавлено: 28 фев 2021, 13:10
Здравствуйте форумчане.
имею в сети десяток *NIX серверов, на них путем анализа сетевой активности (IP порты и протоколы) нужная информация отлавливается и ложиться в лог. затем логи обрабатываются и ложатся в mysql.
в базе как вы понимаете лежит N-записей плохих IP (есть еще таблица с подсетями)
1. можно ли и каким образом (а если можно то как) сделать запрос с микротика к mysql и результат запроса положить в таблицу плохих адресов (использовать в фаерволе)
1.1 или решать эту задачу через загрузку фала по http с плохим списком ?
2. использовать для любителей посканить поставить ловушку и отлавливать попытки скана. пример на линуксе.
iptables -A INPUT -i eth0 -p tcp --dport 445 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 445 "
iptables -A INPUT -i eth0 -p tcp --dport 23 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 23 "
iptables -A INPUT -i eth0 -p tcp --dport 22 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 22 "
iptables -A INPUT -i eth0 -p tcp --dport 3389 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 3389 "
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 3128 "
затем читаем лог мироктика и если есть 5 повторений за 30 минут отправляем в mysql. (или список плохих ипишников и используем фаерволе mikrotik)
3. как сильно загрузит 15-30к записей подсетей в фаерволе ?
имею в сети десяток *NIX серверов, на них путем анализа сетевой активности (IP порты и протоколы) нужная информация отлавливается и ложиться в лог. затем логи обрабатываются и ложатся в mysql.
в базе как вы понимаете лежит N-записей плохих IP (есть еще таблица с подсетями)
1. можно ли и каким образом (а если можно то как) сделать запрос с микротика к mysql и результат запроса положить в таблицу плохих адресов (использовать в фаерволе)
1.1 или решать эту задачу через загрузку фала по http с плохим списком ?
2. использовать для любителей посканить поставить ловушку и отлавливать попытки скана. пример на линуксе.
iptables -A INPUT -i eth0 -p tcp --dport 445 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 445 "
iptables -A INPUT -i eth0 -p tcp --dport 23 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 23 "
iptables -A INPUT -i eth0 -p tcp --dport 22 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 22 "
iptables -A INPUT -i eth0 -p tcp --dport 3389 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 3389 "
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j LOG --log-level info --log-tcp-options --log-prefix "SCAN PORT 3128 "
затем читаем лог мироктика и если есть 5 повторений за 30 минут отправляем в mysql. (или список плохих ипишников и используем фаерволе mikrotik)
3. как сильно загрузит 15-30к записей подсетей в фаерволе ?