【問題】用Brazilfw當路由器會被駭嗎?



贊助商連結


piligh
2007-04-10, 11:23 PM
我用Brazilfw當路由器來分享頻寬給約20台電腦使用,是用固定IP,頻寬為12M/1M,主機是用P-200,記憶體128M。
都是用PUTTY來做遠端連入管理,最近發現連入變的非常慢,
不知是何原因?是主機太慢嗎?

贊助商連結


piligh
2007-04-11, 02:21 PM
結果發現是區網裡頭有一台電腦中毒,
大量傳送封包,看他的連線都是經過PORT135和445,不知是何病毒?
把他的網路線拔除就恢復正常,一插上去整個網路又都癱了,
已通知他並從Brazilfw上將PORT135跟445關閉。
不知該如何預防此種類似狀況再次發生。

rushoun
2007-04-12, 12:21 AM
port 135 TCP
epmap DCE endpoint resolution W32.Blaster.Worm, W32/Lovsan.worm (可做後門病毒)
port 135 UDP
epmap DCE endpoint resolution

port 445 TCP
microsoft-ds Microsoft-DS Lioten, Randon, WORM_DELODER.A, (可做後門病毒)
W32/Deloder.A, W32.HLLW.Deloder, Sasser
port 445 UDP
microsoft-ds Microsoft-DS

以上是我曾找過的資料,僅供參考。

yowlc
2007-04-14, 05:55 PM
結果發現是區網裡頭有一台電腦中毒,
大量傳送封包,看他的連線都是經過PORT135和445,不知是何病毒?
把他的網路線拔除就恢復正常,一插上去整個網路又都癱了,
已通知他並從Brazilfw上將PORT135跟445關閉。
不知該如何預防此種類似狀況再次發生。

不知是否有幫助.... 加在 fireloc.cfg 裡面...

# PREROUTING (table:filter)
#
# user-filter 鍊 在 FORWARD 和 INPUT 裡面都會被執行
#
# 將可疑封包 丟掉
iptables -t filter -A user-filter -p tcp --tcp-flags ALL NONE -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ALL ALL -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ALL FIN -j DROP

# 防止 SYN Flood 阻斷式攻擊
# iptables -t filter -A user-filter -i eth0 -p tcp --syn -m limit --limit 200/s --limit-burst 300 -j ACCEPT
# iptables -t filter -A user-filter -i eth1 -p tcp --syn -m limit --limit 200/s --limit-burst 300 -j ACCEPT
# iptables -t filter -A user-filter -i eth0 -p tcp --syn -j DROP
# iptables -t filter -A user-filter -i eth1 -p tcp --syn -j DROP

# 防止 駭客入侵
iptables -t filter -A user-filter -i eth0 -p tcp --dport 135 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 135 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 137 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 137 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 139 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 139 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 445 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 445 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 593 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 593 -j DROP

iptables -t filter -A user-filter -i eth0 -p tcp --dport 1025 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 2745 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 3127 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 3389 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 6129 -j DROP

iptables -t filter -A user-filter -i eth0 -p udp --dport 135 -j DROP
iptables -t filter -A user-filter -i eth1 -p udp --dport 135 -j DROP
iptables -t filter -A user-filter -i eth0 -p udp --dport 139 -j DROP
iptables -t filter -A user-filter -i eth1 -p udp --dport 139 -j DROP
iptables -t filter -A user-filter -i eth0 -p udp --dport 445 -j DROP
iptables -t filter -A user-filter -i eth1 -p udp --dport 445 -j DROP

hi3cmz
2007-04-17, 05:58 PM
我用Brazilfw當路由器來分享頻寬給約20台電腦使用,是用固定IP,頻寬為12M/1M,主機是用P-200,記憶體128M。
都是用PUTTY來做遠端連入管理,最近發現連入變的非常慢,
不知是何原因?是主機太慢嗎?

有時1000元的D牌IP 分享器可以做更好的工作喔, 如果不是必須不要使用固定IP來分享給大家用, 容易被鎖定.

我算過一台 DESKTOP PC 每年的用電量, 一直開著拿來做 IP 分享有點滑不來. 僅供參考.