Firewall - Pravidlo pro přístup

[Jiří Staněk]

Zdravim,
Už týden se tu marně mořím, nenapadá nekoho jak na MT nastavit aby při zadání špatného hesla třeba 3x za sebou byl nejaký časový limit po kterej se tam nepujde přihlásit

Nikde ve forech sem nic otomto nenašel může mi někdo pomoct?

[VDR]

Dobrý den,

nevím jestli to jde omezit na počet špatně zadaných pokusů při zadávání hesla, ale tento problém by šel rešit počtem navázaných spojení.

Např.: "při přihlášení 3X do minuty na definovaný port počkej 1 minutu a pak opět povol přihlašování"

Osobně bych to řešil "otevřením" definovaného portu jen pro IP adresy, které by měly mít přístup pro jakékoliv přihlašování do systému Mikrotik.
Pro zbytek IP adres bych přístup blokoval.

S pozdravem

Vlastimil Drázský

[Jiří Staněk]

Dobrý den,
Děkuji za vaši odpověd, no on je trochu problém v tom že občas je potřeba se připojit oněkud z jiné sítě do MK a provést nějaké změny, tudíž blokovat IP mimo list je u mě bohužel tabu... a přidávat do listu ty co se tam snaží připojit tak nebudu dělat celej večer nic jinýho

Zkoušel jsem to právě zmyňovaným způsobem definování daného portu ale nějak to nereagovalo...

Pokud by se vám to podařilo rozchodit hoïtě sem prosím export, věřím že by se to hodilo i dalším.

Díky za spolupráci

[VDR]

Tak jsem vytvořil několik pravidel, která umožní již navázaným spojením na port 23 pracovat dále.
Nová spojení na port 23 nejprve zaloguje 1 x 1min (v logu bude vždy jen 1 záznam ke každé IP za 1 minutu). Dále pak umožní návazat pouze 3 nová spojení na port 23 za 1 minutu. Pokud se někdo pokusí navázat více spojení než 3 za 1 minutu, bude port 23 na 1 minutu odmítat veškerá spojení s hláškou "tcp-reset".


Pravidla:

Kód: Vybrat vše

 0   chain=input protocol=tcp dst-port=23 connection-state=established
     action=accept

 1   chain=input protocol=tcp dst-port=23 connection-state=related
     action=accept

 2   chain=input protocol=tcp dst-port=23 limit=1/1m,0 connection-state=new
     action=log log-prefix="telnet_login:"

 3   chain=input protocol=tcp dst-port=23 limit=1/1m,2 connection-state=new
     action=accept

 4   chain=input protocol=tcp dst-port=23 connection-state=new action=reject
     reject-with=tcp-reset


[jahoo]

ja tohle resim pomovi VPN,mam povoleny jen rozsahy z vnitri site, ostatni blokuju. Funguje to docela ok

[Jiří Staněk]

Nemůžu si pomoct ale ty pravidla proste nefungují...
klido na to mužu nepřetržite solit další přihléšení a nic se neděje...
Někde bude asi chybka

Co se vpn týče, somozdřejmě dobrá věc, ale né když se potřebujete připojit z nejakýho jinyho kompu kde nemůžete instalovat VPN klienta

[VDR]

Uvedená pravidla jsem odzkoušel a mě na mém routeru fungují jak mají.

Nejspíše máte ještě někde chybku.

Bylo by dobré třeba vystavit demo účet a můžeme to odladit.

[Jiří Staněk]

OK tady je demčo na muj stroj přímo doma
217.115.242.8
Login:demo
pass:demo

Díky moc

[TrueFriend-cz]

díky moc za poskytnutí dema, ale hlásí to wrong...
Když tedy nechceš zpřístupňovat přístup, vypsal bys sem aspoň obsah té tvé profilace?
Díky

[Jiří Staněk]

No kdyby jsi pozorně četl tak se nejedna o moji profilaci ale o profilaci MR. VDR kterému děkuji za spolupráci...
Pravidla vypadají že již funguji, alespom podle logu...
Budu se snazit to ještě nejak okořenit.

Jinak kdyby někdo přišel jak by se to dalo řešit jinak a zajímavě tak rozhodně nejsem proti cokoliv vyzkoušet.

export zde:

Kód: Vybrat vše


add chain=input protocol=tcp dst-port=22 connection-state=established \
    action=accept comment="SSH 22" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=related \
    action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,0 connection-state=new \
    action=log log-prefix="ssh spatne heslo:" comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,2 connection-state=new \
    action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset \
    comment="" disabled=no

[nimir]

není jednoduchší úplně zakázat porty 22 a 23 dát je na firewalli action tarpit a provoz přeNATovat na jiný port, nebo ještě lépe změnit přímo v service port porty na tyto služby

[netko]

No kdyby jsi pozorně četl tak se nejedna o moji profilaci ale o profilaci MR. VDR kterému děkuji za spolupráci...
Pravidla vypadají že již funguji, alespom podle logu...
Budu se snazit to ještě nejak okořenit.

Jinak kdyby někdo přišel jak by se to dalo řešit jinak a zajímavě tak rozhodně nejsem proti cokoliv vyzkoušet.

export zde:

Kód: Vybrat vše


add chain=input protocol=tcp dst-port=22 connection-state=established \
    action=accept comment="SSH 22" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=related \
    action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,0 connection-state=new \
    action=log log-prefix="ssh spatne heslo:" comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,2 connection-state=new \
    action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset \
    comment="" disabled=no

ahoj tak ja to testujem mohol by si prosim ta napisat aku hodnotu zadat v limit aby sa to bloklo na 1 hodinu a na cely den si heslo dobre pametam tak v omyloch problem nemam a kto tam nema co robit nech tam neni.