Sipl Опубликовано 22 марта, 2015 · Жалоба Mikrotik ктото пытается подобрать пароль? Захожу в log и вижу следующее! Чем я рискую, что мне с этим делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 марта, 2015 · Жалоба С этим ничего не сделать, только привыкать. Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sipl Опубликовано 22 марта, 2015 · Жалоба С этим ничего не сделать, только привыкать. Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт. Как его отключить? Как вообще отключить все возможные способы подключения к микротику, чтоб можно было только через винбокс подключатся? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 22 марта, 2015 · Жалоба Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 марта, 2015 · Жалоба чтоб можно было только через винбокс подключатся Ты думаешь, что WinBox безопаснее SSH? Отключать в разделе Services. Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа. Ну это перебор, можно и самому на это наткнуться. Достаточно блокировки на час. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sipl Опубликовано 22 марта, 2015 · Жалоба Решил сделать так: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 22 марта, 2015 · Жалоба Решил сделать так: Лучше перевесить ssh на верх, куда-нибудь, например, 8022. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sipl Опубликовано 22 марта, 2015 · Жалоба если я не пользуюсь ssh нечего страшного что я его выключил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oneem Опубликовано 22 марта, 2015 · Жалоба Добавил фильтры и забыл давно об этом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 22 марта, 2015 (изменено) · Жалоба если я не пользуюсь ssh нечего страшного что я его выключил? Да не трагедия, я думаю. Просто удобный инструмент. :) Изменено 22 марта, 2015 пользователем vop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 марта, 2015 · Жалоба Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа. Ага, что бы зря ресурсы оборудования занимать на всякую ненужную фильтрацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 22 марта, 2015 · Жалоба 1. Копипастим вот это: /ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers" /ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m /ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h /ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=23 comment="drop telnet brute forcers" /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist address-list-timeout=1w3d dst-port=23 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 address-list-timeout=1m dst-port=23 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 address-list-timeout=1m dst-port=23 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=telnet_stage1 address-list-timeout=1m dst-port=23 /ip firewall filter add chain=input action=drop protocol=tcp src-address-list=winbox_blacklist dst-port=8291 comment="drop winbox brute forcers" /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage3 address-list=winbox_blacklist address-list-timeout=1w3d dst-port=8291 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage2 address-list=winbox_stage3 address-list-timeout=1m dst-port=8291 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage1 address-list=winbox_stage2 address-list-timeout=1m dst-port=8291 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=winbox_stage1 address-list-timeout=1m dst-port=8291 2. ... 3. PROFIT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 22 марта, 2015 · Жалоба Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 23 марта, 2015 · Жалоба Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются) Обработка неверной аутентификацией сервисом sshd в разы тяжелее нежели отлуп фаерволом. так что микротик сдохнет уже на 20k а не на 200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 23 марта, 2015 · Жалоба Откройте досутп к нужному сервису для своего ip, если он постоянен. Иначе как уже объяснили выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 23 марта, 2015 · Жалоба А кто мешает вбить диапазон с которых разрешен заход Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 23 марта, 2015 · Жалоба А кто мешает вбить диапазон с которых разрешен заход 1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон 2) Чем это принципиально отличается от анти-брутфорс правил фаервола? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sipl Опубликовано 23 марта, 2015 · Жалоба Сегодня зашел в логи, там пусто. значит вопрос решен! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 23 марта, 2015 · Жалоба Решил сделать так: Всё правильно сделал, у меня также. А долбятся как правило, китайцы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 24 марта, 2015 · Жалоба А кто мешает вбить диапазон с которых разрешен заход 1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон 2) Чем это принципиально отличается от анти-брутфорс правил фаервола? С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters так как там любой пакет будет проверяться на это правило. А когда прописано именно в IP-диапазоне сервиса только когда когда именно кто то долбиться именно в сервис. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sipl Опубликовано 25 марта, 2015 (изменено) · Жалоба Всё правильно сделал, у меня также. А долбятся как правило, китайцы. А зачем Китайцам мой микротик? Какие цели они преследуют? Изменено 25 марта, 2015 пользователем Sipl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 марта, 2015 · Жалоба С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters так как там любой пакет будет проверяться на это правило. А когда прописано именно в IP-диапазоне сервиса только когда когда именно кто то долбиться именно в сервис. Какое то мутное описание матчинга пакетов в фаерволе. У меня для вас новость: пакет сначала проходит фаервол а уже потом уходит дальше по сетевому стёку и попадает (или нет) на конкретный сокет сервиса/приложения. Это в любой ОС так. А зачем Китайцам мой микротик? Какие цели они преследуют? Так, до кучи. Однажды им может понадобится чтобы ты - злобный русский хакер, устроил атаку на пентагон, за то что он мешает добрым китайцам чего то там делать, а хотя бы и в тебете. Или вдруг у тебя что то интересное найдётся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 25 марта, 2015 · Жалоба отвечу картинкой) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...