[Pili]

Delion Soulblade, ОС заново будет сопоставлять ip с DNS именами и снова сохранять в кэш до следующего ipconfig /flushdns, имхо проще или отключить кэширование или настроить в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters
MaxCacheTtl
А через IPSec блокирование сразу всего диапазона адресов (подсети) не хотите настроить?

[Delion Soulblade]

ОС понятно, но вот конкретно IPSec будет ли каждый раз после очистки кеша\коннекте злоумышленника после очистки кеша проводить lookup DNS, или так и остановится на том IP ,что выявился при создании фильтра - вот это критично знать.
Банить диапазон никак нельзя, иначе ресурс лишится 15*255 потенциальных пользователей...

[Pili]

Delion Soulblade, ОС будет спрашивать у DNS сервера сопоставление dns имени и ip адр., если не найдет в кэше запись, т.е. предположим злоумышленник получит новый ip, этот ip пропишется на dns сервере, если после этого на компьютере где действует политика IPSEC выполнится flushdns (или истечет время хранения кэша), то злоумышленник будет блокироваться, впрочем вы это можете экспериментально проверить.

[Delion Soulblade]

Pili, вышепредложенный способ не работает.

[Pili]

Delion Soulblade, после flushdns
ping по dns имени какой ip адрес показывает? Если правильный - должно работать, м.б. вы разные DNS используете и на вашем DNS сервере запись не успела обновиться?

[Delion Soulblade]

Что значит "если правильный"? Мы ведь вообще не должны обращать внимания на его IP. В IPSec фильтр не обновляет исходный IP,если Вы об этом.
И совсем непонятно причём тут DNS-сервер, если в локалке, через которую мы и соединяемся, DNS-имя злоумышленника, которое я могу видеть при соединении, зависит от его IP и никак не связано с тем, что получено им через сервис no-ip.com

[Pili]

Цитата Delion Soulblade:

Что значит "если правильный" »

это значит текущий ip

Цитата Delion Soulblade:

Мы ведь вообще не должны обращать внимания на его IP »

фактически блокирование все равно происходит по ip

Цитата Delion Soulblade:

В IPSec фильтр не обновляет исходный IP »

IPSec сам не кэширует, но может брать сопоставление dns имени-ip из кэша, если там есть запись, чтобы очистить кэш, требуется ipconfig /flushdns, в принципе можно отключить службу DNS-клиент, тогда кэшироваться не будет и каждый раз будет сопоставление dns имени и ip будет запрашиваться у DNS сервера, команда ping позволит убедиться, что dns имени соответствует новый ip (если icmp не закрыт) и ещё обновит кэш (если служба DNS-клиент работает), если вы используете разные DNS, то на вашем DNS запись о новом ip злоумышленника могла не успеть обновиться, тогда отключение службы DNS-клиент и ipconfig /flushdns не поможет, в таком случае ping по dns имени скорее всего (смотря как dns сервер настроен) выдаст "старый" ip и request time out (даже если icmp на той стороне разрешен)

Цитата Delion Soulblade:

DNS-имя злоумышленника, которое я могу видеть при соединении, зависит от его IP »

точнее злоумышленник, получая новый ip адрес автоматически регистрирует его на "своем" DNS сервере

Цитата Delion Soulblade:

и никак не связано с тем, что получено им через сервис no-ip.com »

а при чем тут сервис no-ip.com?
Вы пробовали применить ipconfig /flushdns, далее ping по dns имени и проверить работает правило или нет? (можно для тестирования попробовать с др. машины попытаться установить соединение)

[Delion Soulblade]

Цитата Pili:

а при чем тут сервис no-ip.com? »

Ну как раз DNS-имя от этого сервиса и вписано в фильтре,его и использует злоумышленник.

Цитата Pili:

Вы пробовали применить ipconfig /flushdns, далее ping по dns имени и проверить работает правило или нет? (можно для тестирования попробовать с др. машины попытаться установить соединение) »

Я очищал кеш, ждал несколько минут, и, не изменяя ранее созданное правило (оно зеркальное, cоздано как DNS-имя <-> любой IP), пробовал соединиться со злоумышленником. Соединение мгновенно проходило.

[Pili]

Delion Soulblade, проверять лучше с внешнего компьютера с тестовым похожим правилом,
В кэше днс до и после такой проверки записи сравнивали? Перед проверкой выполните ping DNS-имя
no-ip.com целиком нельзя запретить?

[Delion Soulblade]

Цитата Pili:

Проверять лучше с внешнего компьютера с тестовым похожим правилом »

К сожалению такой возможности нет.

Цитата Pili:

В кэше днс до и после такой проверки записи сравнивали? Перед проверкой выполните ping DNS-имя »

Там нет записей для нужного мне DNS-имени. Ни до, ни после. Пинг не проходит, хотя коннект к злоумышленнику возможен.