Как настроить фильтрацию входящего трафика по IP?

Question

[Дмитрий]

Есть офисная сеть. На входе стоит последовательно два роутера. Первый занимается балансировкой нагрузки по подключенным провайдерам. Второй управляет внутренней сетью. В последнее время очень часто идёт непонятный входящий трафик из каких-то далёких стран на вебсервисы и потихоньку брутфорсят. Хотелось бы между роутерами воткнуть какой-нибудь простенький фильтр, который отсекал бы входящий трафик из-за пределов РФ. Хотелось бы сделать это на Windows.
Какие есть варианты? Как это организовать? Какие почитать инструкции на русском языке?

Answer 1

[CityCat4]

Хотелось бы сделать это на Windows.

На винде такие вещи не делают.

Я не знаю, что там у Вас за роутеры. Типовое решение - берется список GeoIP, парсится, формируется список нерезидентов, потом пишется одно правило - если src ip в списке - пристрелить. Делатеся это на линухе, на микротике... Вообще топологически это должно работать на переднем роутере - или же между первым и вторым (но лучше все же на первом)

Answer 2

[Drno]

это можно сделать на самом веб сервере, банально настроив iptables или Ваш веб сервер, например с помощью правил fail2ban - в плане бана, или по геопринадлежности IP

Под винду не посоветую, ибо последним чем я там пользовался был Outpost Firewall. Но по идее в него тоже надо будет грузить список разрешенных IP...

Comments

[Дмитрий]

В том-то и дело, мне не нужно на сервере. Мне нужно всю сеть защитить.
Т.е. в моём представлении нужный мне фаервол будет стоять между двумя роутерами. В итоге должно получиться интернет-роутер-фаервол-роутер-офисная сеть.
Фаервол как я представляю это будет мини-пк с двумя сетевыми картами и какое-то приложение, которое банит трафик по IP.
Как вот такая схема реализуется?

[Drno]

Дмитрий, так а почему нельзя забанить на первом роутере? зачем эти цепочки то?
так то у Вас там и 1го нормального шлюза \ роутера достаточно по идее
да и если идет сканирование, то только на открытые порты обычно

[Дмитрий]

Drno, и как мне туда запихнуть допустим 2-3к IPшников?

[Drno]

Дмитрий, я не знаю какие у Вас роутеры. мой вполне позволяет загрузить такой лист адресов

Вообщем хотите железку - ставьте pfSense. это топ из опенСорса и мануалов туча по нему. можете им 1й роутер заменить как раз

На винде такие вещи не делаеются обычно

[Дмитрий]

Drno,

можете им 1й роутер заменить как раз

типа там есть балансировка нагрузки между провайдерами? чтобы можно было гнать трафик сразу по двум?

[Drno]

Дмитрий, в линукс есть все... (правда там freeBSD, но не суть)
это же маршрутизацией настраивается обычно
какой сейчас роутер стоит?

[Дмитрий]

Drno, TP-Link 480+
маршрутизация это в моём представлении, что-то статическое, а там трафик динамически распределяется - где свободнее, туда и пошёл.

[Drno]

Дмитрий, ну маршрутизация да, статическая.
я не знаю умеет ли такое pfSense

[Drno]

Дмитрий, upd - судя по гуглу умеет
https://www.cyberciti.biz/faq/howto-configure-dual...

[Дмитрий]

Drno, в первых же строках

If one connection goes down your traffic will be routed automatically to a backup connection

Это резервирование, а нужна именно балансировка. В худшем случае первый роутер останется на месте.
Спасибо. )

[Drno]

Дмитрий, там есть балансировка. всё написано жеж...

[Дмитрий]

Drno, май инглиш из бед, но по первой половине описания я понял, что настраивается резервирование. Выделю пк, потренируюсь, посмотрю.
Спасибо за наводку.
Появился повод потрогать линух))

[Drno]

Дмитрий,
"Step 6: Configuring dual WAN link load balancer"

в целом там особо щупать нечего, там веб интерфейс полноценный)

потрогать можно на виртуалке