Jump to content
Калькуляторы

l2tp сервер - атакуют?

Чтобы подключаться с айфона, поставил л2тп сервер. Всё работает. Но в логах вон что. Ломают? Как с этим бороться?

 

OqbHtLL.png

Edited by vnkorol

Share this post


Link to post
Share on other sites

Tem Всё бы ничего, но подключаться надо с Японии...

я про то, что для микротика есть списки подсетей по странам, вот и открыть доступ только для нужных

Share this post


Link to post
Share on other sites

есть хороший набор правил который на 3 неудачный коннект помещает адрес в блэк лист, срок жизни листа устанавливаете сами

 

все, плохие ребята сами его заполнили....

Share this post


Link to post
Share on other sites

add action=drop chain=input comment="drop ssh brute forcers" src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1 src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1 src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1

Share this post


Link to post
Share on other sites

я так понял, что в моем случае протокол udp и порты 1701, 500, 4500?

 

возможно, лень счас гуглить и вспоминать как там работает l2tp

Share this post


Link to post
Share on other sites

Не помогает...

 

 

add action=drop chain=input comment="drop l2tp brute forcers" src-address-list=l2tp_blacklist
add action=add-src-to-address-list address-list=l2tp_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=1701,500 protocol=udp \
   src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp \
   src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp

post-82929-089660500 1481447179_thumb.png

Share this post


Link to post
Share on other sites

Не помогает...

 

 

add action=drop chain=input comment="drop l2tp brute forcers" src-address-list=l2tp_blacklist
add action=add-src-to-address-list address-list=l2tp_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=1701,500 protocol=udp \
   src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp \
   src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp

А что в этот момент творится в адрес-листах? Возможно, записи на скрине - это попытки в рамках одного connection'a.

 

PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается.

Share this post


Link to post
Share on other sites

А что в этот момент творится в адрес-листах? Возможно, записи на скрине - это попытки в рамках одного connection'a.

 

Ничего абсолютно. Не добавляется.

 

PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается.

 

У меня L2TP поднято для айфоновского клиента, который не может ни пптп ни сстп.

Share this post


Link to post
Share on other sites

PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается.

 

У меня L2TP поднято для айфоновского клиента, который не может ни пптп ни сстп.

Суть в чём: перед тем, как поднимать L2TP подключение, нужно "постучаться на роутер".

Для этого используем следующие правила:

/ip firewall filter
add action=add-src-to-address-list address-list=knock-success address-list-timeout=10m chain=input dst-port=45671 protocol=tcp src-address-list=knock-stage-2
add action=add-src-to-address-list address-list=knock-stage-2 address-list-timeout=5s chain=input dst-port=34410 protocol=udp src-address-list=knock-stage-1
add action=add-src-to-address-list address-list=knock-stage-1 address-list-timeout=5s chain=input dst-port=15555 protocol=tcp
add action=accept chain=input dst-port=1701,500,4500 in-interface=wan protocol=udp src-address-list=knock-success
add action=accept chain=input connection-state=established,related
... здесь другие разрешающие правила на цепочку input ...
add action=drop chain=input in-interface=wan

С клиентского устройства нужно последовательно открыть подключения на порты tcp 15555, udp 34410, tcp 45671. На айфон для этого есть программа KnockOnD.

Теперь IP клиента на 10 минут в разрешающем адрес листе. Устанавливаем соединение L2TP, радуемся.

Естественно, есть нюансы:

Если стучимся из серой сети с одним внешним IP, то любому хосту этой сети будет позволено подключаться к нашему L2TP. Ненадолго ;-)

Пока L2TP соединение активно, оно проходит по правилу №5. Разорвалось после 10 минут - стучимся снова.

Edited by Nuts

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.