Re: [FUG-BR] Doorman com PF
Em 03/11/05, Mauro Felipe<[EMAIL PROTECTED]> escreveu: > Em 01/11/05, Rainer Alves<[EMAIL PROTECTED]> escreveu: > > Mauro Felipe wrote: > > > > >Amigos, > > > > > >Alguém já utilizou o doormand em um FreeBSD com PF? > > > > > >Não estou conseguindo fazer funcionar. A instalação foi bleleza, mas > > >quando rodo o cliente ele não libera a porta que eu quero no firewall. > > > > > >Maiores informações sobre o doorman: http://doorman.sourceforge.net/ > > > > > >O debug mostra a conexão do cliente, a execução do script para liberar > > >a porta no firewall e logo em seguida fecha a porta! Não entendi! > > > > > > > > > > Mauro, > > > > O doormand.cf tem um parâmetro chamado "connection_delay_1", em que o > > padrão é 1/10 de segundo entre o primeiro SYN e o término do handshake > > com o daemon. > > Tente alterar os seguintes parâmetros no doormand.cf e reinicie o > > daemon.. veja se isso resolve o seu problema: > > > > connection-delay-1 10 > > connection-delay-2 60 > > waitfor 60 > > > > (o "connection-delay-1" é definido em microsegundos, e o valor que vem > > na conf padrão é 10 = 1/10 de segundo). > > > > Att., > > Rainer Alves > > BrasilTelecom > > > > > > > > ___ > > Freebsd mailing list > > Freebsd@fug.com.br > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > > > > Pessoal, > > A configuração estava correta, o que estava faltando era colocar no > meu arquivo de regras do PF a linha "anchor doorman" que é o > subconjunto de regras que o doorman vai gerenciar. > > > -- > [ ]´s > > Mauro Felipe Bem sei que a thread não está falando diretamente sobre o brute force feito no ssh, mas deve ser a provavel causa para instalar o doorman, só uma dica... usei 2 softwares em conjunto com o snort e consegui barrar totalmente o bruteforce ! Tenho um OpenBSD rodando o snort+pf e instalei o snort2c ( alternativo ao snort2pf ) e o mons2c ( limpa a tabela ). Basta criar a regra para o snort e uma tabela no seu pf ! URL e Documentação para o snort2c http://snort2c.sourceforge.net/ regra para o snort: # New rule for catching ssh brute-force attacks alert tcp $HOME_NET any -> any 22 (msg:"SSH Brute-Force attack"; threshold: type both, track by_src, count 2000, seconds 60; classtype:trojan-activity; sid:1000281; rev:2;) ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Doorman com PF
Em 01/11/05, Rainer Alves<[EMAIL PROTECTED]> escreveu: > Mauro Felipe wrote: > > >Amigos, > > > >Alguém já utilizou o doormand em um FreeBSD com PF? > > > >Não estou conseguindo fazer funcionar. A instalação foi bleleza, mas > >quando rodo o cliente ele não libera a porta que eu quero no firewall. > > > >Maiores informações sobre o doorman: http://doorman.sourceforge.net/ > > > >O debug mostra a conexão do cliente, a execução do script para liberar > >a porta no firewall e logo em seguida fecha a porta! Não entendi! > > > > > > Mauro, > > O doormand.cf tem um parâmetro chamado "connection_delay_1", em que o > padrão é 1/10 de segundo entre o primeiro SYN e o término do handshake > com o daemon. > Tente alterar os seguintes parâmetros no doormand.cf e reinicie o > daemon.. veja se isso resolve o seu problema: > > connection-delay-1 10 > connection-delay-2 60 > waitfor 60 > > (o "connection-delay-1" é definido em microsegundos, e o valor que vem > na conf padrão é 10 = 1/10 de segundo). > > Att., > Rainer Alves > BrasilTelecom > > > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > Pessoal, A configuração estava correta, o que estava faltando era colocar no meu arquivo de regras do PF a linha "anchor doorman" que é o subconjunto de regras que o doorman vai gerenciar. -- [ ]´s Mauro Felipe ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Doorman com PF
Mauro Felipe wrote: >Amigos, > >Alguém já utilizou o doormand em um FreeBSD com PF? > >Não estou conseguindo fazer funcionar. A instalação foi bleleza, mas >quando rodo o cliente ele não libera a porta que eu quero no firewall. > >Maiores informações sobre o doorman: http://doorman.sourceforge.net/ > >O debug mostra a conexão do cliente, a execução do script para liberar >a porta no firewall e logo em seguida fecha a porta! Não entendi! > > Mauro, O doormand.cf tem um parâmetro chamado "connection_delay_1", em que o padrão é 1/10 de segundo entre o primeiro SYN e o término do handshake com o daemon. Tente alterar os seguintes parâmetros no doormand.cf e reinicie o daemon.. veja se isso resolve o seu problema: connection-delay-1 10 connection-delay-2 60 waitfor 60 (o "connection-delay-1" é definido em microsegundos, e o valor que vem na conf padrão é 10 = 1/10 de segundo). Att., Rainer Alves BrasilTelecom ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br