Перейти к содержимому
Калькуляторы

Не отрабатывает правило drop по address list

Ответить

r1sh   

r1sh
Опубликовано (изменено) · Жалоба

Добрый день.

 

На микротике постоянно вижу попытку подключений по RDP на проброшенный порт (пусть и левый номер порта)

 

Создал правило в соответствии и документацией:

 

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

 

Поднял правило на самый верх:

  

 4    ;;; drop ssh brute forcers
      chain=input action=drop src-address-list=ssh_blacklist log=yes log-prefix="BLACKLIST_DROP" 

 5    chain=forward action=drop src-address-list=ssh_blacklist log=yes log-prefix="BLACKLIST_FORWARD" 

 6    chain=input action=add-src-to-address-list connection-state=established,related,new protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist address-list-timeout=35w dst-port=3399 log=no log-prefix="" 

 7    chain=input action=add-src-to-address-list connection-state=established,related,new protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3 address-list-timeout=1m dst-port=3399 log=no log-prefix="" 

 8    chain=input action=add-src-to-address-list connection-state=established,related,new protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2 address-list-timeout=1m dst-port=3399 log=no log-prefix="" 

 9    chain=input action=add-src-to-address-list connection-state=established,related,new protocol=tcp address-list=ssh_stage1 address-list-timeout=1m dst-port=3399 log=no log-prefix="" 

10    ;;; Drop Bruteforce
      chain=input action=add-src-to-address-list connection-limit=32,32 protocol=tcp address-list=ssh_blacklist address-list-timeout=none-dynamic log=no log-prefix=""

Добавил вручную IP адреса в группу ssh_blacklist:

  

ip firewall address-list> print
Flags: X - disabled, D - dynamic 
 #   LIST                                                                                        ADDRESS                                                                                                         CREATION-TIME        TIMEOUT             
 0   ssh_blacklist                                                                               77.123.67.5                                                                                                     aug/06/2018 10:13:47
 1   ssh_blacklist                                                                               134.17.4.9                                                                                                      aug/06/2018 10:14:00
 2   ssh_blacklist                                                                               79.11.194.204                                                                                                   aug/06/2018 10:14:13

 

Но всё равно от них подключения в логе есть: https://yadi.sk/i/gGxEtcCd3ZvjL5

 

Подскажите, что я сделал не так?))

 

 

Изменено пользователем r1sh

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

r1sh   

r1sh
Опубликовано · Жалоба

а всё понял, надо было добавить еще правило forward для этих адресов безусловный drop

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Перейти к списку тем Mikrotik коммутаторы и маршрутизаторы