Jump to content

бан адресов

arastegaev
 Share

Recommended Posts

arastegaev

arastegaev

Posted
Posted (edited)

переодически возникоет вот такая ситуация:

jun/08/2012 14:29:34 system,error,critical login failure for user gamme from 218.78.187.14 via ssh

блокирую этих товарищей правилом на фильтре

chain=input action=drop src-address-list=ban_in in-interface=eth1-Internet

и соответственно заношу в address-list=ban_in

 

вопрос:

1.Правильно ли делаю правило?

2. Можно ли автоматизировать данный процесс?

3. Если есть несколько микротиков 2,3 и более как синхронизировать бан-листы?

Edited by arastegaev
Saab95

Saab95

Posted
Posted

А не проще ли отключить доступ по SSH, или если он нужен, создать правило, которое разрешает подключение по SSH только с определенных адресов или подсети?

 

 

arastegaev

arastegaev

Posted
  • Author
Posted

А не проще ли отключить доступ по SSH, или если он нужен, создать правило, которое разрешает подключение по SSH только с определенных адресов или подсети?

 

не совсем проще: бывает подключаюсь с других операторов (когда на выезде) и в добавок с разных компов (в том числе *nix'овых).

а по портам не только ssh, и по разным долбятся и ftp и telnet

а особенно бывает прикольно когда только железку поставил, ченить отвлекли, приходишь через 10мин. а там уже целый экран таких запросов.

 

А на самом деле просто интересно можно ли данный процесс автоматизировать и подключаешь потом новую железку, а она автоматом адреса заливает.

Saab95

Saab95

Posted
Posted

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

arastegaev

arastegaev

Posted
  • Author
Posted

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

 

Что за центральный сервер? На микротике?

arastegaev

arastegaev

Posted
  • Author
Posted (edited)

Оставьте подключение на 8291.остальное input drop

 

это если только winbox подключать.

а как быть с подключением по командной строке через ssh с юниксовых машин?

 

да и гляжу я начнут скора и с winbox пытаться, железо микротика все больше популярность набирает :-)

Edited by arastegaev
Saab95

Saab95

Posted
Posted

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

 

Что за центральный сервер? На микротике?

 

Обычный комп/маршрутизатор, на котором заведена учетная запись для администратора. При подключении по VPN ему дается уникальный адрес, например 10.10.10.10 и на этот адрес не ставится никаких ограничений на всех устройствах в сети, запросы же со всех других адресов блокируются. Тогда никто не сможет попасть в настройки устройств.

rmika

rmika

Posted
Posted

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

koffin

koffin

Posted
Posted

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

 

Интересная автоматика спс.

только момент если сам вдруг неправильно сконнектился (раскладку перепутал) то тоже пипец.

но впринципе отовсего не убережешся.

rmika

rmika

Posted
Posted

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

 

Интересная автоматика спс.

только момент если сам вдруг неправильно сконнектился (раскладку перепутал) то тоже пипец.

но впринципе отовсего не убережешся.

можешь сделать N раз в минуту после чего бан на N1 время

советую сменить порт на нестандартный и использовать эту защиту.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.