Jump to content

l2tp сервер - атакуют?

vnkorol

By vnkorol
in Mikrotik Wireless

 Share

Recommended Posts

vnkorol

vnkorol

Posted
Posted (edited)

Чтобы подключаться с айфона, поставил л2тп сервер. Всё работает. Но в логах вон что. Ломают? Как с этим бороться?

 

OqbHtLL.png

Edited by vnkorol
Tem

Tem

Posted
Posted

Tem Всё бы ничего, но подключаться надо с Японии...

я про то, что для микротика есть списки подсетей по странам, вот и открыть доступ только для нужных

Constantin

Constantin

Posted
Posted

есть хороший набор правил который на 3 неудачный коннект помещает адрес в блэк лист, срок жизни листа устанавливаете сами

 

все, плохие ребята сами его заполнили....

Constantin

Constantin

Posted
Posted

add action=drop chain=input comment="drop ssh brute forcers" src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1 src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1 src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22,23 protocol=tcp src-address=!172.16.5.1

vnkorol

vnkorol

Posted
  • Author
Posted

Не помогает...

 

 

add action=drop chain=input comment="drop l2tp brute forcers" src-address-list=l2tp_blacklist
add action=add-src-to-address-list address-list=l2tp_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=1701,500 protocol=udp \
   src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp \
   src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp

post-82929-089660500 1481447179_thumb.png

Nuts

Nuts

Posted
Posted

Не помогает...

 

 

add action=drop chain=input comment="drop l2tp brute forcers" src-address-list=l2tp_blacklist
add action=add-src-to-address-list address-list=l2tp_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=1701,500 protocol=udp \
   src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp \
   src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500 protocol=udp

А что в этот момент творится в адрес-листах? Возможно, записи на скрине - это попытки в рамках одного connection'a.

 

PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается.

vnkorol

vnkorol

Posted
  • Author
Posted

А что в этот момент творится в адрес-листах? Возможно, записи на скрине - это попытки в рамках одного connection'a.

 

Ничего абсолютно. Не добавляется.

 

PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается.

 

У меня L2TP поднято для айфоновского клиента, который не может ни пптп ни сстп.

Nuts

Nuts

Posted
Posted (edited)

PS. На своих роутерах открываю L2TP с помощью Port Knocking/ICMP Knocking. Всё, что не прошло проверку, дропается.

 

У меня L2TP поднято для айфоновского клиента, который не может ни пптп ни сстп.

Суть в чём: перед тем, как поднимать L2TP подключение, нужно "постучаться на роутер".

Для этого используем следующие правила:

/ip firewall filter
add action=add-src-to-address-list address-list=knock-success address-list-timeout=10m chain=input dst-port=45671 protocol=tcp src-address-list=knock-stage-2
add action=add-src-to-address-list address-list=knock-stage-2 address-list-timeout=5s chain=input dst-port=34410 protocol=udp src-address-list=knock-stage-1
add action=add-src-to-address-list address-list=knock-stage-1 address-list-timeout=5s chain=input dst-port=15555 protocol=tcp
add action=accept chain=input dst-port=1701,500,4500 in-interface=wan protocol=udp src-address-list=knock-success
add action=accept chain=input connection-state=established,related
... здесь другие разрешающие правила на цепочку input ...
add action=drop chain=input in-interface=wan

С клиентского устройства нужно последовательно открыть подключения на порты tcp 15555, udp 34410, tcp 45671. На айфон для этого есть программа KnockOnD.

Теперь IP клиента на 10 минут в разрешающем адрес листе. Устанавливаем соединение L2TP, радуемся.

Естественно, есть нюансы:

Если стучимся из серой сети с одним внешним IP, то любому хосту этой сети будет позволено подключаться к нашему L2TP. Ненадолго ;-)

Пока L2TP соединение активно, оно проходит по правилу №5. Разорвалось после 10 минут - стучимся снова.

Edited by Nuts

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.