Stránka 1 z 1
Firewall - Pravidlo pro přístup
Napsal: 09 Mar 2007 14:39
od Jiří Staněk
Zdravim,
Už týden se tu marně mořím, nenapadá nekoho jak na MT nastavit aby při zadání špatného hesla třeba 3x za sebou byl nejaký časový limit po kterej se tam nepujde přihlásit
Nikde ve forech sem nic otomto nenašel může mi někdo pomoct?
Napsal: 09 Mar 2007 19:43
od VDR
Dobrý den,
nevím jestli to jde omezit na počet špatně zadaných pokusů při zadávání hesla, ale tento problém by šel rešit počtem navázaných spojení.
Např.: "při přihlášení 3X do minuty na definovaný port počkej 1 minutu a pak opět povol přihlašování"
Osobně bych to řešil "otevřením" definovaného portu jen pro IP adresy, které by měly mít přístup pro jakékoliv přihlašování do systému Mikrotik.
Pro zbytek IP adres bych přístup blokoval.
S pozdravem
Vlastimil Drázský
Napsal: 09 Mar 2007 22:19
od Jiří Staněk
Dobrý den,
Děkuji za vaši odpověd, no on je trochu problém v tom že občas je potřeba se připojit oněkud z jiné sítě do MK a provést nějaké změny, tudíž blokovat IP mimo list je u mě bohužel tabu... a přidávat do listu ty co se tam snaží připojit tak nebudu dělat celej večer nic jinýho
Zkoušel jsem to právě zmyňovaným způsobem definování daného portu ale nějak to nereagovalo...
Pokud by se vám to podařilo rozchodit hoïtě sem prosím export, věřím že by se to hodilo i dalším.
Díky za spolupráci
Napsal: 10 Mar 2007 02:28
od VDR
Tak jsem vytvořil několik pravidel, která umožní již navázaným spojením na port 23 pracovat dále.
Nová spojení na port 23 nejprve zaloguje 1 x 1min (v logu bude vždy jen 1 záznam ke každé IP za 1 minutu). Dále pak umožní návazat pouze 3 nová spojení na port 23 za 1 minutu. Pokud se někdo pokusí navázat více spojení než 3 za 1 minutu, bude port 23 na 1 minutu odmítat veškerá spojení s hláškou "tcp-reset".
Pravidla:
Kód: Vybrat vše
0 chain=input protocol=tcp dst-port=23 connection-state=established
action=accept
1 chain=input protocol=tcp dst-port=23 connection-state=related
action=accept
2 chain=input protocol=tcp dst-port=23 limit=1/1m,0 connection-state=new
action=log log-prefix="telnet_login:"
3 chain=input protocol=tcp dst-port=23 limit=1/1m,2 connection-state=new
action=accept
4 chain=input protocol=tcp dst-port=23 connection-state=new action=reject
reject-with=tcp-reset
Napsal: 10 Mar 2007 10:53
od jahoo
ja tohle resim pomovi VPN,mam povoleny jen rozsahy z vnitri site, ostatni blokuju. Funguje to docela ok
Napsal: 10 Mar 2007 15:03
od Jiří Staněk
Nemůžu si pomoct ale ty pravidla proste nefungují...
klido na to mužu nepřetržite solit další přihléšení a nic se neděje...
Někde bude asi chybka
Co se vpn týče, somozdřejmě dobrá věc, ale né když se potřebujete připojit z nejakýho jinyho kompu kde nemůžete instalovat VPN klienta
Napsal: 10 Mar 2007 19:30
od VDR
Uvedená pravidla jsem odzkoušel a mě na mém routeru fungují jak mají.
Nejspíše máte ještě někde chybku.
Bylo by dobré třeba vystavit demo účet a můžeme to odladit.
Napsal: 11 Mar 2007 14:20
od Jiří Staněk
OK tady je demčo na muj stroj přímo doma
217.115.242.8
Login:demo
pass:demo
Díky moc
no
Napsal: 13 Mar 2007 14:17
od TrueFriend-cz
díky moc za poskytnutí dema, ale hlásí to wrong...
Když tedy nechceš zpřístupňovat přístup, vypsal bys sem aspoň obsah té tvé profilace?
Díky
Napsal: 14 Mar 2007 01:20
od Jiří Staněk
No kdyby jsi pozorně četl tak se nejedna o moji profilaci ale o profilaci MR. VDR kterému děkuji za spolupráci...
Pravidla vypadají že již funguji, alespom podle logu...
Budu se snazit to ještě nejak okořenit.
Jinak kdyby někdo přišel jak by se to dalo řešit jinak a zajímavě tak rozhodně nejsem proti cokoliv vyzkoušet.
export zde:
Kód: Vybrat vše
add chain=input protocol=tcp dst-port=22 connection-state=established \
action=accept comment="SSH 22" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=related \
action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,0 connection-state=new \
action=log log-prefix="ssh spatne heslo:" comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,2 connection-state=new \
action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset \
comment="" disabled=no
Napsal: 09 May 2007 20:49
od nimir
není jednoduchší úplně zakázat porty 22 a 23 dát je na firewalli action tarpit a provoz přeNATovat na jiný port, nebo ještě lépe změnit přímo v service port porty na tyto služby
Re:
Napsal: 25 Jan 2010 17:09
od netko
Jiří Staněk píše:No kdyby jsi pozorně četl tak se nejedna o moji profilaci ale o profilaci MR. VDR kterému děkuji za spolupráci...
Pravidla vypadají že již funguji, alespom podle logu...
Budu se snazit to ještě nejak okořenit.
Jinak kdyby někdo přišel jak by se to dalo řešit jinak a zajímavě tak rozhodně nejsem proti cokoliv vyzkoušet.
export zde:
Kód: Vybrat vše
add chain=input protocol=tcp dst-port=22 connection-state=established \
action=accept comment="SSH 22" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=related \
action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,0 connection-state=new \
action=log log-prefix="ssh spatne heslo:" comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,2 connection-state=new \
action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset \
comment="" disabled=no
ahoj tak ja to testujem mohol by si prosim ta napisat aku hodnotu zadat v limit aby sa to bloklo na 1 hodinu a na cely den si heslo dobre pametam tak v omyloch problem nemam a kto tam nema co robit nech tam neni.