【問題】用Brazilfw當路由器會被駭嗎？

[piligh]

我用Brazilfw當路由器來分享頻寬給約20台電腦使用，是用固定IP，頻寬為12M/1M，主機是用P-200，記憶體128M。
都是用PUTTY來做遠端連入管理，最近發現連入變的非常慢，
不知是何原因？是主機太慢嗎？

[piligh]

結果發現是區網裡頭有一台電腦中毒，
大量傳送封包，看他的連線都是經過PORT135和445，不知是何病毒？
把他的網路線拔除就恢復正常，一插上去整個網路又都癱了，
已通知他並從Brazilfw上將PORT135跟445關閉。
不知該如何預防此種類似狀況再次發生。

[rushoun]

port 135 TCP
epmap DCE endpoint resolution W32.Blaster.Worm, W32/Lovsan.worm (可做後門病毒)
port 135 UDP
epmap DCE endpoint resolution

port 445 TCP
microsoft-ds Microsoft-DS Lioten, Randon, WORM_DELODER.A, (可做後門病毒)
W32/Deloder.A, W32.HLLW.Deloder, Sasser
port 445 UDP
microsoft-ds Microsoft-DS

以上是我曾找過的資料，僅供參考。

[yowlc]

結果發現是區網裡頭有一台電腦中毒，
大量傳送封包，看他的連線都是經過PORT135和445，不知是何病毒？
把他的網路線拔除就恢復正常，一插上去整個網路又都癱了，
已通知他並從Brazilfw上將PORT135跟445關閉。
不知該如何預防此種類似狀況再次發生。

不知是否有幫助.... 加在 fireloc.cfg 裡面...

# PREROUTING (table:filter)
#
# user-filter 鍊 在 FORWARD 和 INPUT 裡面都會被執行
#
# 將可疑封包 丟掉
iptables -t filter -A user-filter -p tcp --tcp-flags ALL NONE -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ALL ALL -j DROP
iptables -t filter -A user-filter -p tcp --tcp-flags ALL FIN -j DROP

# 防止 SYN Flood 阻斷式攻擊
# iptables -t filter -A user-filter -i eth0 -p tcp --syn -m limit --limit 200/s --limit-burst 300 -j ACCEPT
# iptables -t filter -A user-filter -i eth1 -p tcp --syn -m limit --limit 200/s --limit-burst 300 -j ACCEPT
# iptables -t filter -A user-filter -i eth0 -p tcp --syn -j DROP
# iptables -t filter -A user-filter -i eth1 -p tcp --syn -j DROP

# 防止 駭客入侵
iptables -t filter -A user-filter -i eth0 -p tcp --dport 135 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 135 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 137 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 137 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 139 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 139 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 445 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 445 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 593 -j DROP
iptables -t filter -A user-filter -i eth1 -p tcp --dport 593 -j DROP

iptables -t filter -A user-filter -i eth0 -p tcp --dport 1025 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 2745 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 3127 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 3389 -j DROP
iptables -t filter -A user-filter -i eth0 -p tcp --dport 6129 -j DROP

iptables -t filter -A user-filter -i eth0 -p udp --dport 135 -j DROP
iptables -t filter -A user-filter -i eth1 -p udp --dport 135 -j DROP
iptables -t filter -A user-filter -i eth0 -p udp --dport 139 -j DROP
iptables -t filter -A user-filter -i eth1 -p udp --dport 139 -j DROP
iptables -t filter -A user-filter -i eth0 -p udp --dport 445 -j DROP
iptables -t filter -A user-filter -i eth1 -p udp --dport 445 -j DROP

[hi3cmz]

我用Brazilfw當路由器來分享頻寬給約20台電腦使用，是用固定IP，頻寬為12M/1M，主機是用P-200，記憶體128M。
都是用PUTTY來做遠端連入管理，最近發現連入變的非常慢，
不知是何原因？是主機太慢嗎？

有時1000元的D牌IP 分享器可以做更好的工作喔, 如果不是必須不要使用固定IP來分享給大家用, 容易被鎖定.

我算過一台 DESKTOP PC 每年的用電量, 一直開著拿來做 IP 分享有點滑不來. 僅供參考.