vnkorol Posted December 4, 2016 (edited) · Report post Чтобы подключаться с айфона, поставил л2тп сервер. Всё работает. Но в логах вон что. Ломают? Как с этим бороться? Edited December 4, 2016 by vnkorol Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tem Posted December 4, 2016 · Report post для начала закрыть в фаерволе доступ к л2тп для всех подсетей кроме RU Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted December 4, 2016 · Report post Tem Всё бы ничего, но подключаться надо с Японии... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tem Posted December 4, 2016 · Report post Tem Всё бы ничего, но подключаться надо с Японии... я про то, что для микротика есть списки подсетей по странам, вот и открыть доступ только для нужных Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted December 4, 2016 · Report post есть хороший набор правил который на 3 неудачный коннект помещает адрес в блэк лист, срок жизни листа устанавливаете сами все, плохие ребята сами его заполнили.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted December 4, 2016 · Report post Constantinсекретный набор правил? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted December 4, 2016 · Report post add action=drop chain=input comment="drop ssh brute forcers" src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1 src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1 src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted December 4, 2016 · Report post я так понял, что в моем случае протокол udp и порты 1701, 500, 4500? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted December 4, 2016 · Report post я так понял, что в моем случае протокол udp и порты 1701, 500, 4500? возможно, лень счас гуглить и вспоминать как там работает l2tp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 4, 2016 · Report post 500 и 4500 не нужно, они в инициализации не участвуют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted December 8, 2016 · Report post Еще варианты есть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
poisons Posted December 9, 2016 · Report post 500 порт и правила выше чем не милы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted December 11, 2016 · Report post Не помогает... add action=drop chain=input comment="drop l2tp brute forcers" src-address-list=l2tp_blacklist add action=add-src-to-address-list address-list=l2tp_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=1701,500 protocol=udp \ src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp \ src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nuts Posted December 11, 2016 · Report post Не помогает... add action=drop chain=input comment="drop l2tp brute forcers" src-address-list=l2tp_blacklist add action=add-src-to-address-list address-list=l2tp_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=1701,500 protocol=udp \ src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp \ src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp А что в этот момент творится в адрес-листах? Возможно, записи на скрине - это попытки в рамках одного connection'a. PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted December 11, 2016 · Report post А что в этот момент творится в адрес-листах? Возможно, записи на скрине - это попытки в рамках одного connection'a. Ничего абсолютно. Не добавляется. PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается. У меня L2TP поднято для айфоновского клиента, который не может ни пптп ни сстп. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nuts Posted December 11, 2016 (edited) · Report post PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается. У меня L2TP поднято для айфоновского клиента, который не может ни пптп ни сстп. Суть в чём: перед тем, как поднимать L2TP подключение, нужно "постучаться на роутер". Для этого используем следующие правила: /ip firewall filter add action=add-src-to-address-list address-list=knock-success address-list-timeout=10m chain=input dst-port=45671 protocol=tcp src-address-list=knock-stage-2 add action=add-src-to-address-list address-list=knock-stage-2 address-list-timeout=5s chain=input dst-port=34410 protocol=udp src-address-list=knock-stage-1 add action=add-src-to-address-list address-list=knock-stage-1 address-list-timeout=5s chain=input dst-port=15555 protocol=tcp add action=accept chain=input dst-port=1701,500,4500 in-interface=wan protocol=udp src-address-list=knock-success add action=accept chain=input connection-state=established,related ... здесь другие разрешающие правила на цепочку input ... add action=drop chain=input in-interface=wan С клиентского устройства нужно последовательно открыть подключения на порты tcp 15555, udp 34410, tcp 45671. На айфон для этого есть программа KnockOnD. Теперь IP клиента на 10 минут в разрешающем адрес листе. Устанавливаем соединение L2TP, радуемся. Естественно, есть нюансы: Если стучимся из серой сети с одним внешним IP, то любому хосту этой сети будет позволено подключаться к нашему L2TP. Ненадолго ;-) Пока L2TP соединение активно, оно проходит по правилу №5. Разорвалось после 10 минут - стучимся снова. Edited December 11, 2016 by Nuts Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...