forumru.asustor.com

Хотелось бы видеть пункт Импорт/Экспорт в текстовый файл с возможностью редактирования, переносить на второй NAS вручную желания нет, хотелось бы иметь возможность как-то это сделать... Или может есть возможность через ssh получить доступ к этому файлу.

Все находится по адресу /volume0/usr/builtin/etc/ipblock
defender.black - черный список
defender.safe - список надежных
defender.white - белый список
ipblock.deny - автоматический черный список

Очень давно перестал работать Автоматический черный список, последняя запись датирована 2019.08.06, по настройкам Network Defender
Список надежных у меня заполнен, в основном локальная сетка и диапазоны удаленных клиентов, так же VPN который выдает сам NAS
Черный список активен, там лежит, то что сам добавил, зная что "вредоносные" адреса
Белый список выключен
Автоматический черный список включен с настройками: 5 раз/5 минут/всегда/чекбоксы на всех сервисах установлены
Как видно из лога, что запись вроде как сделана, но по факту ее нет, вернее она есть в файле ipblock.deny, но она не отображается через Защитник ADM, вес файла ADM gjxnb 50 метров...

INFO 2021.05.07 14:33 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:33 SYSTEM [Network Defender] Abnormal login attempt detected, Add IP "117.7.220.136" to Autoblock List.
INFO 2021.05.07 14:33 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:33 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:33 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:32 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:32 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:32 SYSTEM [Network Defender] Abnormal login attempt detected, Add IP "117.7.220.136" to Autoblock List.
INFO 2021.05.07 14:32 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:31 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:31 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:31 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:30 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.
INFO 2021.05.07 14:30 SYSTEM [Network Defender] Abnormal login attempt detected, Add IP "117.7.220.136" to Autoblock List.
INFO 2021.05.07 14:30 SYSTEM [System] "ssh" login failure from IP "117.7.220.136" detected.

кусок из ipblock.deny

117.7.220.136;1620397723;0
117.7.220.136;1620397787;0
117.7.220.136;1620397833;0
117.7.220.136;1620397960;0
117.7.220.136;1620398016;0
117.7.220.136;1620398141;0
117.7.220.136;1620398186;0
117.7.220.136;1620398233;0
117.7.220.136;1620398343;0

KPOTOC писал(а):Как видно из лога, что запись вроде как сделана, но по факту ее нет, вернее она есть в файле ipblock.deny, но она не отображается через Защитник ADM

Похоже не работает. Попробуй отключить автоматический черный список и удалить ipblock.deny, и проверь после перезагрузки.
Запись обязательно должна отображаться в защитнике ADM.

KPOTOC писал(а):вес файла ADM gjxnb 50 метров...

Где он лежит у тебя, размер просто огромный.

setsempron писал(а): Похоже не работает. Попробуй отключить автоматический черный список и удалить ipblock.deny, и проверь после перезагрузки.
Запись обязательно должна отображаться в защитнике ADM.

Как решить-то понятно, вопрос от куда ростет косяк?

setsempron писал(а): Где он лежит у тебя, размер просто огромный

/volume0/usr/builtin/etc/ipblock/ipblock.deny
Размер вряд ли чем то нормирован, только если кол-вом записей, а этого пункта я не нашел и по логике вещей он не должен быть, так как сервер 24/7 и для корпоратива такой глюк реально не приемлем и записей там может быть намного больше чем у меня, судя по кол-ву в Network Defender их всего-то до 500 сейчас, но в файле больше на порядок, много дублированных записей, вопрос "должны ли записи дублироваться?"
setsempron, поможешь если скинешь кусок своего файла, структуру посмотреть...

Собственно говоря как решить вопрос я понимаю, порты можно сменить - это сократит кол-во попыток подключения, секьюрити гетвей поставить можно, но это все решения, а нужно понять проблему, от куда этот косяк вылез так давно, почему сам Network Defender поработал корректно всего неделю, могу предположить, что это единичный случай, так как это напрямую касается защиты данных от несанкционированного использования - кто-то бы уже тиккет написал и в прошивке исправили бы за этот период.

Тиккет написан - посмотрим, что предложат.

setsempron писал(а):поможешь если скинешь кусок своего файла, структуру посмотреть...

Рад бы помочь, но у меня этот файл отсутствует. Я давно закрыл порт SSH, постоянно стучались туда, менял на другой, не помогло. Тупо сканируют все порты. В последний раз перенес все адреса в черный список и файл сам пропал. Я к себе хожу через VPN.
По нормальному адрес должен попадать в список только один раз и блокироваться, у тебя же явно глюк какой-то.

У меня AS-5304T и там эта штука зовется ADM Defender.
Я из-за него не могу войти на NAS из внешней сети. Приходится добавлять ту сеть, из которой захожу в Trusted List. То есть если NAS не видит эту сеть в этом списке, то даже записи в логе о попытке соединения нет. У меня 2 СИМки в телефоне. Сеть МТС была настроена в Trusted List. сейчас переключился на Билайн - всё, с телефона сервер не досупен, в логе тишина. Добавил сеть Билайна в Trusted List - и всё заработало. Это так и задумано?
В разделе Firewall Basic Policy стоит Allow All connection

VasiliyM6 писал(а):У меня AS-5304T и там эта штука зовется ADM Defender.

Вы хотите сказать что нет перевода в данном разделе или у Вас интерфейс на английском?

VasiliyM6 писал(а):Добавил сеть Билайна в Trusted List - и всё заработало. Это так и задумано?

Вы случайно белый список не активировали?

setsempron
Спасибо Вам огромное! Да, был активирован White List. Я видимо в свое время перепутал Trusted и White списки и добавил локальную(домашнюю) сеть чтоб меня не блокировало после нескольких ошибок с паролем. Выключил White List и всё заработало! А то я уже и VPN поднял, чтоб извне заходить.
И да, у меня стоит английский интерфейс в ADM