PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : abuse hetzner (NetscanOutLevel: Netscan detected)


xwoman2
June 4th, 2019, 18:34
درود دوستان
بده یک سرور اختصاصی از هتزنر دارم که چند ماهی میشه استفاده می کنم و مشکلی نداشته.ولی طی ۲ روز اخیر دو بار abuse اومده برام با عنوان
NetscanOutLevel: Netscan detected
ای پی که براش abuse اومده مربوط هست به سرور ... پی ان که تا الان مشکلی نداشته ولی از ۲ روز پیش تا الان ۲ بار مشکل ساز شده.
حالا نمی دونم مشکل از کجاست.فقط خودم و چن تا از دوستان از سرور استفاده میکنیم.یعنی به نظرتون مشکل از سمت یکی از کلاینت هاست و اتک میده ؟‌




> Tue Jun 4 15:35:50 2019 UDP ***.76.111.15* 33323 => 192.168.1.2 137

> Tue Jun 4 15:35:50 2019 UDP ***.76.111.15* 33323 => 192.168.1.3 137

> Tue Jun 4 15:35:50 2019 UDP ***.76.111.15* 33323 => 192.168.1.4 137



چه راهی رو پیشنهاد می کنید تا دیگه این مورد پیش نیاد؟
با تشکر از شما
RoobinaServer
June 4th, 2019, 18:43
سلام

آیپی های private را ترجیحا مسدود کنید و در ادامه ریشه یابی کنید چرا چنین کانکشنی ارسال میکنید.
xwoman2
June 4th, 2019, 18:47
سلام

آیپی های private را ترجیحا مسدود کنید و در ادامه ریشه یابی کنید چرا چنین کانکشنی ارسال میکنید.

با تشکر از پاسخ شما.از طریق فایروال سرور مجازی باید این کارو بکنم یا از طریق فایروالی که در پنل خود هتزنر هست ؟
ULTRAWEB
June 4th, 2019, 19:02
با تشکر از پاسخ شما.از طریق فایروال سرور مجازی باید این کارو بکنم یا از طریق فایروالی که در پنل خود هتزنر هست ؟
فرقی نمیکنه از هرکدوم

تاپیک مرتبط:
http://www.webhostingtalk.ir/showthread.php?t=208490
xwoman2
June 4th, 2019, 19:43
فرقی نمیکنه از هرکدوم

تاپیک مرتبط:
http://www.webhostingtalk.ir/showthread.php?t=208490

خیلی ممنون دوست عزیز.دستورات رو زدم داخل ترمینال.الان دیگه مشکل رفع شده به نظر شما ؟‌نیازی نیست پورتی رو ببندم؟البته ufw ‌نصب هست و همه پورت ها بسته هستن.
Peugeot
June 4th, 2019, 19:49
اگر دسترسی دارید از فایروال هتزنر بلاک کنید (نمیدونم اصلاً میشه یا نه) خیلی بهتره.

ما هم دقیقاً همین مشکل رو داشتیم (تلگرام بهتون پیام دادم) و رنج ها رو هم بستیم و فایروال هم کانفیگ بود اما بازم ابیوز اومد!
ULTRAWEB
June 4th, 2019, 19:51
بعضی وقتا برای مثال بخاطر استفاده از پروتکل های p2pهیچ وقت این مشکل حل نمیشه و سیستم هتزنزم بیخیال نمیشه

مثلا پروتکل های شبکه ی ای بلاک چین و این چیزا
باید منبع مشکل رو درس شناسایی کرد ولی انشالله حل شه مشکلتون در صورت حل نشدن مشکل رو شناسایی کنین
rahyarco
June 4th, 2019, 23:25
درود دوستان
بده یک سرور اختصاصی از هتزنر دارم که چند ماهی میشه استفاده می کنم و مشکلی نداشته.ولی طی ۲ روز اخیر دو بار abuse اومده برام با عنوان
NetscanOutLevel: Netscan detected
ای پی که براش abuse اومده مربوط هست به سرور ... پی ان که تا الان مشکلی نداشته ولی از ۲ روز پیش تا الان ۲ بار مشکل ساز شده.
حالا نمی دونم مشکل از کجاست.فقط خودم و چن تا از دوستان از سرور استفاده میکنیم.یعنی به نظرتون مشکل از سمت یکی از کلاینت هاست و اتک میده ؟‌




> Tue Jun 4 15:35:50 2019 UDP ***.76.111.15* 33323 => 192.168.1.2 137

> Tue Jun 4 15:35:50 2019 UDP ***.76.111.15* 33323 => 192.168.1.3 137

> Tue Jun 4 15:35:50 2019 UDP ***.76.111.15* 33323 => 192.168.1.4 137



چه راهی رو پیشنهاد می کنید تا دیگه این مورد پیش نیاد؟
با تشکر از شما


با توجه به کاربردی که گفتید باید آی پی های زیر را در حالت Forward روی روتری که به VPS ها اینترنت می دهد بلاک کنید یا اگر تک آی پی هست می توانید در فایروال سیستم عامل در حالت OUT این آی پی ها را بلاک کنید .
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10
169.254.0.0/16


بر خلاف نظراتی که در تاپیک گفته شده است ، فایروال خود هتزنر نمی تواند به شما کمک کند ! چرا که فقط در حالت ترافیک ورودی input سرور عمل می کند و شما کنترلی روی ترافیک خروجی out سرور ندارید!
xwoman2
June 5th, 2019, 05:33
با توجه به کاربردی که گفتید باید آی پی های زیر را در حالت Forward روی روتری که به VPS ها اینترنت می دهد بلاک کنید یا اگر تک آی پی هست می توانید در فایروال سیستم عامل در حالت OUT این آی پی ها را بلاک کنید .
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10
169.254.0.0/16


بر خلاف نظراتی که در تاپیک گفته شده است ، فایروال خود هتزنر نمی تواند به شما کمک کند ! چرا که فقط در حالت ترافیک ورودی input سرور عمل می کند و شما کنترلی روی ترافیک خروجی out سرور ندارید!

خیلی ممنون از پاسختون.بنده از کی وی ام استفاده میکنم و ای پی هایی هم که دارم تک ای پی هست.سابنت نیست.روتری هم نداره برای اینترنت دادن به وی پی اس ها.خودش اتوماتیک همه چیزش ست میشه فقط مک آدرس و اساین میکنم.
دیشب از طریق لینک تایپیکی که دوست عزیز دادن ای پی ها رو بالاک کردم.ولی باز هم وقتی با وی پی ان وصل هستم میتونم وارد تنظیمات مودم بشم که مثلا بلاک کردم دیگه.نمی دونم مشکل از کجاست.ufw ‌هم نصب هست.خودش همه چیز رو بلاک میکنه مگر اینکه رول براش بنویسیم تا باز کنه درسته ؟‌
NetworkFA
June 5th, 2019, 10:48
خودش همه چیز رو بلاک میکنه مگر اینکه رول براش بنویسیم تا باز کنه درسته ؟‌

برای ترافیک ورودی هست نه خروجی
BenYamin313
June 5th, 2019, 11:05
فایوال سیستم درست کانفیگ کنید به این مشکل نخواهید خورد.
با بستن این بلاک رنج هم مشکلتون حل نمیشه چون دارید از این رنج برای " سرور ... پی ان " استفاده میکنید!
NetworkFA
June 5th, 2019, 11:08
فایوال سیستم درست کانفیگ کنید به این مشکل نخواهید خورد.
با بستن این بلاک رنج هم مشکلتون حل نمیشه چون دارید از این رنج برای " سرور ... پی ان " استفاده میکنید!

خیر این مشکل به وجود نمیاد اولا چون *** یک ارتباط ptp هست دوما باید برای ترافیک خروجی اجرا شود و سوما وقتی شما روی سرور اصلی فایروال اعمال کنید چه ارتباطی به ماشین های مجازی و شبکه داخلیشون برای *** داره؟
البته بعضی از *** ها ptp نیستند

درصورتی که سرور مجازی ساز شما روی CentOS7 هست firewalld را فعال کنید و دستورات زیر را بزنید



firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 10.0.0/8 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 192.168.0.0/16 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 172.16.0.0/12 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 100.64.0.0/10 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 127.0.0.0/8 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 0.0.0.0/8 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 169.254.0.0/16 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 192.0.0.0/24 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 192.0.2.0/24 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 198.18.0.0/15 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 198.51.100.0/24 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 203.0.113.0/24 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 224.0.0.0/3 -j DROP
xwoman2
June 5th, 2019, 11:16
خیر این مشکل به وجود نمیاد اولا چون *** یک ارتباط ptp هست دوما باید برای ترافیک خروجی اجرا شود و سوما وقتی شما روی سرور اصلی فایروال اعمال کنید چه ارتباطی به ماشین های مجازی و شبکه داخلیشون برای *** داره؟
البته بعضی از *** ها ptp نیستند

درصورتی که سرور مجازی ساز شما روی CentOS7 هست firewalld را فعال کنید و دستورات زیر را بزنید



firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 10.0.0/8 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 192.168.0.0/16 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 172.16.0.0/12 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 100.64.0.0/10 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 127.0.0.0/8 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 0.0.0.0/8 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 169.254.0.0/16 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 192.0.0.0/24 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 192.0.2.0/24 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 198.18.0.0/15 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 198.51.100.0/24 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 203.0.113.0/24 -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -d 224.0.0.0/3 -j DROP



ممنون به خاطر پاسخ
سرور دبیان هست و این دستورات رو زدم :‌



iptables -A OUTPUT -p udp -s 0/0 -d 0.0.0.0/8 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 10.0.0.0/8 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 100.64.0.0/10 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 169.254.0.0/16 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 172.16.0.0/12 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 192.0.0.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 192.0.2.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 192.88.99.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 192.168.0.0/16 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 198.18.0.0/15 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 198.51.100.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 203.0.113.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 224.0.0.0/4 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 240.0.0.0/4 -j DROP
آیا کفایت میکنه ؟
اگر نه ufw رو غیر فعال کنم ؟‌
NetworkFA
June 5th, 2019, 11:29
ممنون به خاطر پاسخ
سرور دبیان هست و این دستورات رو زدم :‌



iptables -A OUTPUT -p udp -s 0/0 -d 0.0.0.0/8 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 10.0.0.0/8 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 100.64.0.0/10 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 169.254.0.0/16 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 172.16.0.0/12 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 192.0.0.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 192.0.2.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 192.88.99.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 192.168.0.0/16 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 198.18.0.0/15 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 198.51.100.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 203.0.113.0/24 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 224.0.0.0/4 -j DROP
iptables -A OUTPUT -p udp -s 0/0 -d 240.0.0.0/4 -j DROP
آیا کفایت میکنه ؟
اگر نه ufw رو غیر فعال کنم ؟‌

شما چون تک آیپی دارید باید فایروال رو روی تک تک سرور های مجازی اعمال کنید

بهتر هست هم output باشه و هم forward و هم tcp و udp