arastegaev Опубликовано 8 июня, 2012 (изменено) · Жалоба переодически возникоет вот такая ситуация: jun/08/2012 14:29:34 system,error,critical login failure for user gamme from 218.78.187.14 via ssh блокирую этих товарищей правилом на фильтре chain=input action=drop src-address-list=ban_in in-interface=eth1-Internet и соответственно заношу в address-list=ban_in вопрос: 1.Правильно ли делаю правило? 2. Можно ли автоматизировать данный процесс? 3. Если есть несколько микротиков 2,3 и более как синхронизировать бан-листы? Изменено 8 июня, 2012 пользователем arastegaev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 июня, 2012 · Жалоба А не проще ли отключить доступ по SSH, или если он нужен, создать правило, которое разрешает подключение по SSH только с определенных адресов или подсети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arastegaev Опубликовано 8 июня, 2012 · Жалоба А не проще ли отключить доступ по SSH, или если он нужен, создать правило, которое разрешает подключение по SSH только с определенных адресов или подсети? не совсем проще: бывает подключаюсь с других операторов (когда на выезде) и в добавок с разных компов (в том числе *nix'овых). а по портам не только ssh, и по разным долбятся и ftp и telnet а особенно бывает прикольно когда только железку поставил, ченить отвлекли, приходишь через 10мин. а там уже целый экран таких запросов. А на самом деле просто интересно можно ли данный процесс автоматизировать и подключаешь потом новую железку, а она автоматом адреса заливает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 июня, 2012 · Жалоба Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира. В этом случае у него адрес всегда постоянный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arastegaev Опубликовано 8 июня, 2012 · Жалоба Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира. В этом случае у него адрес всегда постоянный. Что за центральный сервер? На микротике? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hamachi Опубликовано 8 июня, 2012 · Жалоба Оставьте подключение на 8291.остальное input drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arastegaev Опубликовано 8 июня, 2012 (изменено) · Жалоба Оставьте подключение на 8291.остальное input drop это если только winbox подключать. а как быть с подключением по командной строке через ssh с юниксовых машин? да и гляжу я начнут скора и с winbox пытаться, железо микротика все больше популярность набирает :-) Изменено 8 июня, 2012 пользователем arastegaev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hamachi Опубликовано 8 июня, 2012 · Жалоба /ip service и меняйте порт на другой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
peektoseen Опубликовано 8 июня, 2012 · Жалоба port knocking не подходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 июня, 2012 · Жалоба Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира. В этом случае у него адрес всегда постоянный. Что за центральный сервер? На микротике? Обычный комп/маршрутизатор, на котором заведена учетная запись для администратора. При подключении по VPN ему дается уникальный адрес, например 10.10.10.10 и на этот адрес не ставится никаких ограничений на всех устройствах в сети, запросы же со всех других адресов блокируются. Тогда никто не сможет попасть в настройки устройств. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 8 июня, 2012 · Жалоба /ip firewall filter add action=drop chain=input comment="drop ssh brute forcers" disabled=no \ src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=7d chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 \ address-list-timeout=1m chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp Более 2 попыток в 1 минуту бан на неделю... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
koffin Опубликовано 9 июня, 2012 · Жалоба /ip firewall filter add action=drop chain=input comment="drop ssh brute forcers" disabled=no \ src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=7d chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 \ address-list-timeout=1m chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp Более 2 попыток в 1 минуту бан на неделю... Интересная автоматика спс. только момент если сам вдруг неправильно сконнектился (раскладку перепутал) то тоже пипец. но впринципе отовсего не убережешся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 9 июня, 2012 · Жалоба /ip firewall filter add action=drop chain=input comment="drop ssh brute forcers" disabled=no \ src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=7d chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 \ address-list-timeout=1m chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input connection-state=new disabled=no \ dst-port=22,23 protocol=tcp Более 2 попыток в 1 минуту бан на неделю... Интересная автоматика спс. только момент если сам вдруг неправильно сконнектился (раскладку перепутал) то тоже пипец. но впринципе отовсего не убережешся. можешь сделать N раз в минуту после чего бан на N1 время советую сменить порт на нестандартный и использовать эту защиту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...