Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Заблокировать входящие IP-адреса?, UniFi Network
 
#1
06.05.2025 13:32:00
Привет всем,

У меня веб-сервер подвергается атакам, судя по всему, с китайских IP-адресов. Хочу настроить правило брандмауэра, чтобы блокировать их, но трафик всё равно доходит до нашего веб-сервера, даже когда правило включено. Я создала правило на блокировку любого трафика с внешних IP-адресов, но, скорее всего, я что-то накрутила не так. В чём может быть проблема с конфигурацией?

 
 
 
#2
07.05.2025 12:48:00
Теперь правила расставлены по порядку. Самое сложное – добавлять диапазоны IP-адресов в правило блокировки по мере их появления. Можно ли автоматизировать добавление этих диапазонов?
 
 
 
#3
07.05.2025 12:46:00
Да, но я добавляю подозрительные IP-адреса вручную по мере их появления. Есть ли способ, чтобы UDM мог отслеживать источники трафика и автоматически блокировать IP-адреса, если они соответствуют определенным порогам агрессивности и очевидным паттернам владения? Например, мой ручной анализ трафика будет смотреть на источники по IP-адресам и группировать их по подсетям /16 и /24. Если в какой-то конкретной подсети наблюдается всплеск трафика, я смотрю информацию о владельце IP-адреса в этом диапазоне (lookup.icann.org), чтобы узнать имя владельца и полный контроль над подсетью. Если владелец зарегистрирован как "облачные сервисы", я блокирую этот IP-адрес. Обычно это диапазон /16 или /24, но иногда это /11 или что-то подобное. До сих пор весь нежелательный трафик соответствует именно этой модели, что заставило меня поверить (чистое предположение) в то, что это AI-боты, пытающиеся учиться, а не скоординированная DDOS-атака. Может ли UDM делать этот анализ и блокировку автоматически, чтобы я не приходилось вручную отслеживать шаблоны трафика?
 
 
 
#4
07.05.2025 12:20:00
Ты не можешь заставить трафик не попадать на твой WAN IP и, соответственно, на твой публичный веб-сервер, поэтому ты должен, чтобы UDM блокировал подозрительную активность, что он и делает. Блокировка по регионам — единственный способ блокировать страны, но, как уже было сказано, VPN могут использовать злоумышленники, чтобы обойти эти ограничения.
 
 
 
#5
07.05.2025 12:15:00
Пока что весь этот агрессивный трафик идет от четко обозначенных сервисов "облачных" из Азии. Есть ли более удобный способ для UDM автоматически отслеживать и справляться с таким чрезмерно агрессивным трафиком?
 
 
 
#6
06.05.2025 16:30:00
Решил проблему. У меня настроено использование статического публичного IP для доступа к внутреннему веб-серверу. Я провёл поиск по IP-адресам и обнаружил, что целые /24 блоки принадлежат Alibaba Cloud Services, что заставило меня подумать, что кто-то запустил несколько излишне агрессивных краулеров или AI ботов для сканирования моего сервера. Проблема с неработающим правилом блокировки файрвола была в порядке правил: как только я поставил правило блокировки первым, всё успокоилось и вернулось в нормальное состояние. Есть ли лучший способ для UDM мониторить и справляться с такими "тупыми" вещами?
 
 
 
#7
06.05.2025 15:40:00
Автор в своем посте сказал, что это общедоступный веб-сервер. Но если он пытается заблокировать IP-адреса, проблема не исчезнет.
 
 
 
#8
06.05.2025 15:37:00
Пожалуй, лучше спросить так: действительно ли этот веб-сервер нужно выставлять в Интернет? Если ответ — Нет, то уберите переадресацию порта, если она есть. Если ответ — Да, то как вы определяете, какой IP хороший, а какой плохой? Все китайские IP — плохие? Как вы это расследуете? Если вы хотите начать перечислять IP-адреса, то вам предстоит очень долгий и бесплодный путь, в этом случае предложение выставить веб-сервер за VPN вполне оправдано. К тому же, ваша политика безопасности выглядит странно. Внешние зоны и внутренние зоны перепутаны, так как IP-адреса, вероятно, не попадают на сервер во внутренней зоне, потому что диапазоны RFC1918 не маршрутизируются через Интернет, если вы не добавили, скажем, публичный сервер во внутреннюю зону с публичным IP-адресом? Много вопросов по вашей настройке и намерениям.
 
 
 
#9
06.05.2025 14:32:00
Я в замешательстве. У вас есть публичный веб-сервер, а вы хотите блокировать IP-адреса с него, потому что они выглядят как недоброжелатели. Это как-то противоречит самой идее публичного веб-сервера. Я предложил VPN для доступа к веб-серверу, так как не было понятно, предназначен ли он для ограниченного доступа сотрудников, например. Как я уже говорил, блокировка IP-адресов – это бесполезное занятие, потому что недоброжелатели могут обойти блокировку с помощью VPN (используя другой диапазон IP-адресов). Они уже нашли ваш веб-сервер из-за открытого порта и продолжат его сканировать и пытаться получить доступ. Мы размещаем веб-сервисы на облачных серверах, которые не работают на сети Unifi, и используем гораздо более продвинутые инструменты брандмауэра, но все равно регулярно получаем попытки атак.
 
 
 
#10
06.05.2025 14:25:00
Шлюз – UDM SE. Я не уверен, как можно использовать VPN-сервис, чтобы пропускать только правильный публичный трафик к моему публичному веб-серверу. Я пытался настроить правила, чтобы блокировать диапазоны, достигающие "Internal", "DMZ" и "Gateway".
 
 
 
#11
06.05.2025 13:51:00
Можно попробовать блокировку по географическому положению или блокировку с уведомлением, но блокировка IP-адресов не остановит злонамеренную атаку, потому что злоумышленник может использовать VPN, чтобы замаскировать своё местоположение. Я бы также настоятельно не советовал открывать порты во внешнюю сеть, это как приглашение для сканирования ботами и взломов, что, возможно, и происходит. Гораздо лучше использовать VPN-сервис. У вас включены системы обнаружения и предотвращения вторжений (IDS/IPS)? Какой контроллер у вас используется?
 
 
 
#12
06.05.2025 13:47:00
Веб-сервер работает корректно со стороны внешнего мира. IP-адреса принадлежат китайскому облачному хостингу, и трафик постоянно приходит с этих диапазонов уже три дня. Подозриваю, что кто-то настроил обучающего AI-бота, и он агрессивно атакует мой сервер. Как правильно настроить правило брандмауэра, чтобы заблокировать входящие IP-диапазоны?
 
 
 
#13
06.05.2025 13:39:00
У тебя настроена переадресация портов на веб-сервер? Блокировка IP бесполезна, потому что VPN-соединение от злоумышленника может прийти откуда угодно, не только из Китая.
 
 
 
Страницы: 1
Читают тему (гостей: 1)