Forum
Üstadlar merhaba kaç gündür bir çözüm bulamadım neden olduğunu da bulamadım pcleri tarattım virüste yok ama anlamadığım kayıtlar oluşuyor.
Ayrıca telnet ve ssh üzerinden saldırı alıyorum firewall engelliyor ama engellemeye çalışırken yoruluyor ve networkte yavaşlama oluşuyor. Bu gelen istekleri engellemeyle uğraşmayıp direk drop edip bağlantıyı kesmesini nasıl sağlayabilirim acaba? Aşağıda resimleri paylaşıcam.
dc server da dhcp kurulu ama neden böyle bir istekte bulunuyor firewalla anlamış değilim.
10.0.0.252 içeride bir routera ait o ne isteği gönderiyor anlamadım. 192.168 ile başlayanlar modemler ve upnp kapalı. bu modemlere bilmiyorum ama script falan koyuluyor mu böyle acaba.
asıl önemlisi bu telnet saldırılarını nasıl drop edeceğim. ben firewalldan any-external to firebox olarak telnet kuralı oluşturup bunu deny yaptım ama yok olmuyor telnet portlarını blocked port ekledim yine olmuyor. aşağıda saldırılar görünüyor.
biri yardımcı olursa sevinirim olmasanızda canınız sağolsun yapacak birşey yok.
teşekkür ederim.
Mücahit bey merhaba,
Sorduğun sorular için oturup saatlerce konuşulabilir ama bu imkan olmadığından burada kısa cevap vermek gerek, ya da balık tutmayı öğrenmen gerek kısaca.
Trafik monitörde gördüğün trafiğin neden kaynaklandığını anlamak için internet üzerinde arama yaparak sonuç alabilirsin. Örnek olarak TCP/1900 portu için http://www.speedguide.net/port.php?port=1900 açıklama bu linkte.
Firewall kullanmamızın amacı sistemlerimizi korumasıdır, bunu yaparken firewall yorulacaktır doğal olarak. Dışardan gelen telnet isteklerini doğru şekilde bloklamış görünüyorsun faka bu bloklama firewall üzerinde her bir ip için bir kayıt açtığından bazı çok sayıda atak firewall performansını olumsuz etkiler. Küçük bir cihazın varsa memory darboğaza düşebilir.
Bu yüzden blokladığın trafiği takip ederek performans kaybını kontrol altında tutmalısın.
Hocam çok teşekkür ediyorum. Valla vaktinizi alıyorum hakkınızı helal edin ama işin içinden çıkamadığım için yazıyorum buraya. Bundan 1 ay öncesine kadar firewallın fsini bilmiyordum ama şimdi araştırmalarım denemelerim ve sizin de sayenizde watchguard üzerinde bilmediğim kullanamadığım çok az yer var.
Bu portları araştırdım zaten ama benim anlamadığım ben upnpyi modemlerde kapattığım halde bu istek modemden nasıl çıkıyor kafam buraya takıldı.
Saldırının telnet üzerinden geldiğini de zaten logları inceleyerek buldum. İzin vermedikçe ne giriş ne çıkış var şükür çözdüm bu firewall kullanım mantığını.
Tekrar sağolun. Saygılar üstadım.
Modem tarafındaki multicast paketlerinin neden durmadığı biraz da modem üreticisi ile ilgili, o tarafta kaynak varmıdır araştırmak gerek.
Bu şekilde öğrenmeye devam ederseniz yakında güvenik uzmanı olabilirsiniz, tebrikler Mücahit bey.
Birde eski firmware yükleyeyim düzelir belki o zaman.
Teşekkür ederim hocam sağolun varolun.