Na naší síti se čas od času objevil problem s viry nebo spamy, které bez vědomí klientů začnou scanovat porty. Řešením se ukázalo upozornit klienta na přítomnost něčeho nekalého a zároveň zamezit komunikaci na síti. Router detekuje scanování portů a automaticky zdrojovou IP přesměruje na www stranky viz <--- l -->viewtopic.php?t=18<--- l -->
zápis do IP firewall forward
- tento řádek nemusí být pouze ukazuje která IP scanuje
chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=scan_port address-list-timeout=10m
- pokud některá IP scanuje přidá ji do address-list a označí jako blokovane_IP
chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=blokovane_IP address-list-timeout=10m
- tento řádek tam mam jako pojistku:)
chain=forward protocol=tcp psd=21,3s,3,1 action=drop
Pokud router detekuje scanovaní do address listu vypíchne IP. Po 10 min blokování zruší, ovšem pokud scanování bude pokračovat o5 ji zase zablokuje
Všiml jsem si vedlejšího účinku tohoto scriptu na P2P SW někdy to vyhodí IP adresy na kterých má klient zapnuté P2P stahování.
Jenom doplním Pokud používate FTP (passive) tak vas to vykopne. Stejně tak i na P2P