[zoomx]

Utilizzando la porta 22 tempo un paio d'ore e ti trovi qualcuno che sta tentando un bruteforce, cambi porta e puoi star tranquillo per mesi anche senza la necessitá nemmeno di f2b (che se attivo sulla porta 22 inizia a mangiare ram per tutta la gente che inizia a bloccare)

insomma per star piú tranquilli ed evitare anche il traffico sporco bisogna sia cambiare porta che togliere l'auth con password

Mi era venuto in mente di mettere su un falso server SSH ma ci hanno già pensato, questo è in goolang
https://github.com/jaksi/sshesame
Però ne potrei fare uno con un microcontrollore....

[Diabolik]

@FrancYescO questione dns... ho appena provato a spegnere il "Trova automaticamente" poi ho aggiunto i tuoi suggeriti. Li ho aggiunti separatamente perchè se li mettevo separati da una "," in un'unica riga da un'errore.
I due dns dns compaiono da subito alla destra del "Server DNS"......... il voip sembra ancora funzionare. Se riattivo il "Trova automaticamente" dopo pochi istanti ricompaiono quelli che ti indicavo nei reply precedenti.......
Ora lascio cosi.....per un pò.

[MisterFTTH]

il fatto di cambiare porta anche lasciando password come autenticazione permette di abbattere il 90% del traffico sporco

Tentati accessi tramite una porta chiusa o filtrata generano comunque pacchetti in ingresso: non ho mai eseguite misurazioni empiriche, ma parlare di 90% di traffico in meno mi pare ottimistico...

(chi si mette a fare i portscan e analisi dei servizi su ogni porta é in numero molto minore di chi appena trova la 22 aperta si mette a fare bruteforce)

Stando ai miei log annuali la affermazione non trova riscontro.

f2b (che se attivo sulla porta 22 inizia a mangiare ram per tutta la gente che inizia a bloccare)

In effetti a seconda della release, dell'ambiente di esecuzione e del carico di lavoro f2b può soffrire di memory leak (ed anche di "CPU leak") e le soluzioni disponibili non sempre risultano efficaci: nella mia esperienza d'uso i parametri rimangono ad oggi entro un ordine di grandezza del tutto accettabile, ma senza dubbio hai evidenziata una questione da tenere presente.

Al di là di tutto nel caso sia sembrato il contrario dalle mie parole, chiarisco che pur non essendo la panacea di tutti i mali il cambio porta certo non comporta aspetti negativi (tranne magari la "scocciatura" di utilizzare la porta custom per le proprie legittime connessioni).

[Diabolik]

@FrancYescO ......... dopo le modifiche di poche ore fà ora mi dice:
Telefonia abilitata


1 Account Non Registrato

C'è l'infoLED perenne rosso...... non so se la causa sono i DNS in quando la navigazione va.

Ho riattivato il "Trova Automaticamente" ed ora dice:
Server DNS -> 1.1.1.1,1.0.0.1,85.37.17.57,85.38.28.80

Vediamo cos'è che viene fuori.....

[FrancYescO]

Bhé se é l'unica modifica che hai fatto direi proprio di si.. non ho ben capito peró se alla fine il trova automaticamente l'hai lasciato abilitato o meno...

nel caso prova a tenerlo disattivato ed inserire manualmente come terzo e quarto dns quelli che assegna automaticamente.

EDIT:

Ho riattivato il "Trova Automaticamente" ed ora dice:
Server DNS -> 1.1.1.1,1.0.0.1,85.37.17.57,85.38.28.80

ok quindi dovrebbe averteli messi automaticamente come terzo e quarto dns quelli che trova.. teoricamente dovrebbe funzionare, fai anche un check su https://www.dnsleaktest.com/ per vedere nella navigazione quali sta utilizzando (ovviamente sui dispositivi come DNS deve risultare l'ip del modem, se li fai assegnare anche al DHCP toglili)

[Diabolik]

^^ Lol questo indirizzo mi dice:
Cannot GET /results.html

Allora io da pc ho impostato questi 1.1.1.1 e 1.0.0.1 ma per vedere quali usa il router metto l'ip del router e disattivo gli altri e riprovo....... spetta ulteriori feedback.
Magari c'è semplicemente da aspettare un pò...........

*EDIT*
Allora ho fatto un test esteso su dnsleaktest ma non riesco ad interpretare il risulto.

Compare una lista di IP della classe 74.125.xxx.xxx "Hostname nome" e "ISP Google" e sono riportati come Belgium........


*EDIT 2*
Nel log per esempio c'è questa cosa qua:
Oct 3 12:07:25   user.info   mmpbxd[6045]   SIP Registration: SIP: +39xxxxxxxxxx : Deregister
Oct 3 12:07:25   user.debug   mmpbxd[6045]   [MMRVSIPIMPL::REGTERMOBJ]:E: regTermObjFirewallRuleUpdate:4075 - Unable to retrieve currentDestination from SIP network ..
Oct 3 12:07:25   user.debug   mmpbxd[6045]   [MMRVSIPIMPL::NETWORKOBJ]:C: onStackLogEvent:2029 - TRANSACTION - TransactionTransportTrxStateChangeEv - pTransc=0x0x18e6748: Message failed to be sent (rv=0:OK)
Oct 3 12:06:55   user.debug   mmpbxd[6045]   [MMRVSIPIMPL::REGTERMOBJ]:E: registerStateChanged:1421 - In case of a previous send socket error, retry after 30 sec

Ma anche qua per me è arabo allo stato puro. Chiamo il 187 e vedo cosa mi dicono ? Se ne accorgeranno che ho smanovrato un pò..... lol
E compare ogni minuto circa.......

[FrancYescO]

In pratica l'unica cosa da tenere in considerazione in quella lista e l'ISP se ti compare google significa che stai utilizzando quelli di google (8.8.8.8 ) li hai tolti dalla scheda di rete/DHCP? prova anche a riavviare la connessione ad internet dal modem

[Diabolik]

^^ Si ora li ho tolti........  ma forse per far si che windows usi i nuovi devi resettare la sua cache dei dns col flushdns dal prompt di dos ?

Cmq sia prima avevo quelli di google come dns ma come terzo e quarto. Ora li ho tolti direttamente..........


*EDIT*
VoIP tornato a funzionare........ semplicemente rimuovendo i DNS 1.1.1.1 e 1.0.0.1 e lasciando attivo il "Trova Automatico" che di fatto rimette quelli citati in qualche post precedente.
Non appena ho cancellato dopo pochi istanti il VoIP è tornato su 1 account registrato. Potrei aggiungere 1.1.1.1 come terzo e l'altro come quarto ma magari non ha senso.
Tanto vale lasciare il tutto sui dispositivi DHCP e, dove si usa gli ip fissi (praticamente in casa mia un pò su tutto) impostare questi di CloudFlare manualmente..... come sempre s'è fatto pure per quelli Google.

[FrancYescO]

prova disattivando il trova automaticamente, e metti 4 dns in lista, i primi due di cloudflare gli altri due di tim (o magari mettine solo due uno cloudflare il secondario tim).. se non riesci a tenere quelli di cloudflare come prioritari perde un pó di senso impostarli

il risultato di dnsleaktest é abbstanza affidabile, non risente delle cache locali.

[Diabolik]

^^ Allora vediamo......... in effetti lo so che non ha senso, cioè se ho capito bene i 4 dns vengono interessati in ordine quindi se non li imposto come prioritari appunto prima vengono interrogati i 2 telecom quindi non ha quasi senso impostare gli altri in 3a e 4a posizione.

Però la cosa che mi crea curiosità, tralasciando un'attimo la questione sul router......... è perchè su windows pur avendo impostato i cloudflare Dnsleaktest continua a proprinarmi che sto usando quelli di google ?
Cioè in teoria non ha senso......... ora come ora sono quelli di Alice impostati e perchè mi dice che son di google ? Forse Alice si appoggia a quelli google ?

Tralasciando la questione router anche perchè ieri quando ho fatto le modifiche e l'ho segnalato qua ho alzato la cornetta e dava segnale libero...... forse il router se n'è accorto dopo qualche ora che avevo spippolato e quindi s'è disconnesso dopo x ore ?

Cioè in teoria se ora reimposto quelli cloudflare magari "rischio" appunto una situazione simile cioè che funziona all'inizio ma dopo un pò cada giù il voip...

[FrancYescO]

Cioè in teoria non ha senso......... ora come ora sono quelli di Alice impostati e perchè mi dice che son di google ? Forse Alice si appoggia a quelli google ?

al 99% perché é quelli che assegna il DHCP / hai messo tu a mano che hanno la prioritá su quelli impostati nella modal internet

Pannello di controllo\Rete e Internet\Connessioni di rete, tasto destro sulla scheda di rete > stato > dettagli per forzare a riprendere quelli che hai modificato sul dhcp del modem dovrebbe bastare attivare e disattivare la scheda di rete

in altre parole se modifichi quelli sulla modal internet quelli sul DHCP non devi metterli, e per far prendere le modifiche a tutti i dispositivi devi riavviarli, per forzare un renew DHCP

[mavelot]

Mi era venuto in mente di mettere su un falso server SSH ma ci hanno già pensato, questo è in goolang
https://github.com/jaksi/sshesame
Però ne potrei fare uno con un microcontrollore....

Cmq io ho spostato senza problemi la porta 22.

Nel file /etc/config/dropbear:

Codice: [Seleziona]

config dropbear 'lan'
option IdleTimeout '600'
option PasswordAuth 'on'
option Port '22'
option Interface 'lan'
option RootPasswordAuth 'on'
option enable '1'
option RootLogin '1'

config dropbear 'wan'
option IdleTimeout '600'
option PasswordAuth 'on'
option Port '42200'
option Interface 'wan'
option enable '1'
Qui puoi anche disattivare accesso con password e soprattutto disattivare l'accesso come root

E nel file /etc/config/firewall modifichi la rule

Codice: [Seleziona]

config rule 'SSH_wan'
option name 'SSH_wan'
option src 'wan'
option proto 'tcp'
option dest_port '42200'
option family 'ipv4'
option target 'ACCEPT'
Riavvi i servizi e la modifica diventa permanente anche aggiornando la GUI (feci inserire da Ansuel a suo tempo un check per non sovrascrivere tali impostazioni)

[zoomx]

Domanda: ma se io modifico direttamente i file di configurazione poi la GUI me li cambia daccapo?

L'idea del falso SSH mi veniva dalla curiosità di contare i tentativi e gli IP, quindi la provenzienza apparente.

[FrancYescO]

te lo ha appena scritto mavelot che non lo fa

[Diabolik]

CUT CUT

Taglio per non fare reply chilometrici (ma almeno cliccandoci c'è un reply di riferimento)...... cmq si la cosa dovrebbe riguardare i dispositivi in DHCP ma io facevo e faccio il test da PC dov'è impostato ip fisso e con lui i dns dove ora i CloudFlare sono gli unici impostati ma il test continua a tirarmi fuori tutti ip classe 74.125 con dicitura Belgium e Google.
Lo diamo per affidabile il test ma a questo punto non saprei perchè ho acceso il pc poco fà quindi il pc quindi dovrebbe aver fatto un renew.

In merito ai dns sul router ho provato ieri e niente...... come metti un qualsiasi dns prima di quelli che lui si autoassegna il VoIP smette di funzionare dopo X minuti. Dico X perchè non lo fa subito ma lo si nota dopo un pò con l'infoled sul modem che diventa rosso. Come cancelli tutte le voci aggiunte e riattivi il "Trova Automaticamente" dopo altri X minuti il VoIP torna a funzionare e l'infoled ritorna verde.