Роман Безруков, Роман благодарю за ответ, я пытаюсь подключиться с левого ИПшника подключение вообще не идет, дропается сразу.
А вот те что заблокированы я не могу понять, как они пытаются достучаться до RDP.
В RDP Guard мы поставили порог блокировки в 3 раза, тоесть если 3 раза ввести пароль неверно он блокирует, я вот не могу понять как они пытаются ввести пароль 3 раза если их должно дропать сразу.
В какую сторону копать, объясните пжлста )
Вот картинка с Security - как -то пытается стучаться в этот порт RDP, хотя его нет в Scope правиле.
Роман Безруков, Благодарю за развернутый ответ, но ситуация такая.
На RDP порт измененный (44567) В Scope - указанно всего 2 ИПшника (удаленных) , с них идет нормально подключение, для проверки подключаюсь с левого ИП адреса подключение не идет.
Напрягает что в RDP Guard в день по 20 ИП адресов с разных стран блокируются, вот и вопрос почему Firewall работает не четко, все остальные Rules-ы которые могут как-то влиять на RDP порт я позакрывал, оставил только добавленный в ручную с правилом на White List в Scope .
Каким образом взломают ?) Там fail2ban стоит и в штатном указаны ИПшники с которых можно подключаться, все порты извне закрыты + лицензионный антивир. уже 7 лет полет нормальный, но этого всего мало, нужно еще понять какой Брандмауэр туда запихать )
Valentin Barbolin, ну RDP Guard блокирует только RDP , он сканит номер по Журналу Событий только RDP подключения. Все лишнее телодвижения ему незачем логировать , могу правда ошибаться.
Но на RDP порт могут стучаться только занесенные в белый лист (SCOPE), остальные отсекаются , собственно вопрос как это лечить?)))
shurshur, Мне нужно бесплатный продукт, который я могу поставить и централизовать все бекапы в эту точку.
Bareos если честно я дилетант в данной области впервые слышу.
Владимир Коротенко, Владимир извините, я вас не поблагодарил. Спасибо большое за помощь, все идеально и прекрасно работает.
Но есть еще такой вопрос, на RDP порту (он изменен на 44567) я поставил все ИПшники допустим N страны.
Но в RDP Guard (fail2BAN прога) все равно высвечиваются ИПшники которые заблокированы, но они уже с других стран естественно.
Пытаюсь подключиться для проверки с других стран(там серваки) подключение не идет, NMAP также показывает 0 портов.
Собственно вопрос, если указаны в SCOPE весь список ИПшников N-ной страны, почему ее видят другие?
Благодарю за помощь.
Собственно как добавляю правило:
1) Windows Firewall
2) Inbound Rules
3) New Rule ----> Port 8080 (TCP) ---- > Allow The Connection (All Profiles Domain/Private/Public) ----> Name 1CWEB
4) Захожу в свойство этого правила и в Scope (Remote IP Adress) добавляю IP диапазон адресов .
ip r add default via 65.108.143.129 dev enp7s0 - такая же ошибка к сожалению.
С Сетевой картой или кабелем проблем не должно быть, так как отправляю сервер в Rescue System - он работает через 65.108.143.131:22 по SSH.
