Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Nastavení firewall proti scanu portu

Návody a problémy s konfigurací.
Beny44
Příspěvky: 75
Registrován: 8 years ago

Nastavení firewall proti scanu portu

Příspěvekod Beny44 » 4 years ago

Ahoj,

pokouším se nastavit firewall MK 3011 proti scanu portů.
Našel jsem nastavení na https://wiki.mikrotik.com/wiki/Drop_port_scanners

Mám dvě otázky:
1. Nevím kam s těmi pravidly - kam v celkovém stromu pravidel
2. Je použit Adress list s pojmenováním "port scanners" - je nutné jej napřed ručně vytvořit? A pokud ano, jaké se má vyplnit adresa?

ad.1 - Na začátku filtru mám established , related, následně povolené tři porty pro komunikaci z venku
Dál je filtrace pro přihlášení do Sony PSN účtu jen z konzole
Vše ven povoleno

Dále blokace DDos a Botnetu z venku a nakonec vše zahozeno.
Snad je to k pochopení

ad.2 - mám za to že se do toho adress listu budou odchycené IP zapisovat a blokovat. Testoval jsem z venku scan z nějaké stránky, ale nic se neodchytlo.

Díky za případné rady
0 x

iTomB
Příspěvky: 875
Registrován: 17 years ago

Příspěvekod iTomB » 4 years ago

Doporucim hledani zde a prostudovat tohle.
0 x

ludvik
Příspěvky: 4448
Registrován: 12 years ago

Příspěvekod ludvik » 4 years ago

Máš-li postaven firewall tak jak říkáš, tak je nějaká detekce portscanu tak nějak k ničemu - nechtěný provoz je blokován tak jako tak.

Ale jinak tu MK pravidla musíš dát za established, related a před konečný drop. A pokud mají tvá explicitní povolení fungovat vždy, tak až za ně. V podstatě tedy skoro nakonec před ten DROP ALL.

Poslední řádek z toho návodu bych pak nedával do filter/input, ale do raw/prerouting. Když už ten router zatížíš nějakou detekcí, tak tohle alespoň mu něco zase ušetří.

address-list se vytvoří sám, až k tomu bude důvod.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

Beny44
Příspěvky: 75
Registrován: 8 years ago

Příspěvekod Beny44 » 4 years ago

Děkuji Vám oběma.
0 x

K3NY
Příspěvky: 442
Registrován: 8 years ago

Příspěvekod K3NY » 4 years ago

Kód: Vybrat vše

https://www.turris.cz/cs/
0 x

Beny44
Příspěvky: 75
Registrován: 8 years ago

Příspěvekod Beny44 » 4 years ago

Ještě mám jednu věc.
Dneska jsem koukal do Logu a mám pokusy pro připojení z venku na Winbox Dude. Winbox mám povolen jen z lokálu. Ale chtěl bych útočníky dávat do nějakého adress listu a kompletně banovat.
Může někdo poradit, jak na to?

Winbox dude.jpg
Winbox dude.jpg (109.68 KiB) Zobrazeno 2916 x
0 x

pepulis
Příspěvky: 1418
Registrován: 18 years ago

Příspěvekod pepulis » 4 years ago

Beny44 píše:Ještě mám jednu věc.
Dneska jsem koukal do Logu a mám pokusy pro připojení z venku na Winbox Dude. Winbox mám povolen jen z lokálu. Ale chtěl bych útočníky dávat do nějakého adress listu a kompletně banovat.
Může někdo poradit, jak na to?

Winbox dude.jpg


IP services a nastavit jiný port na Winbox a bude klid, rovněž nastavit z jakých IP adres se dá hlásit do routeru. Rovněž nastavit v useres, které IP jsou akceptovány.
0 x

Petr Bačina
Příspěvky: 1361
Registrován: 9 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 4 years ago

Změna portu na winbox nebo /ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface="wan" action=drop

Nejlépe do firewallu drop na input všechno a udělat si jenom vyjímky.
0 x

Beny44
Příspěvky: 75
Registrován: 8 years ago

Příspěvekod Beny44 » 4 years ago

Mám winbox jen z lokálu a povolenou jen jednu ip. Ještě jsem nastavil users jen z lokální IP. To by mohlo stačit. Z venku je to blokovaný, to snad ta modrá barva v logu označuje, že je to drop.
0 x

Beny44
Příspěvky: 75
Registrován: 8 years ago

Příspěvekod Beny44 » 4 years ago

Petr Bačina píše:Změna portu na winbox nebo /ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface="wan" action=drop

Nejlépe do firewallu drop na input všechno a udělat si jenom vyjímky.


Jo jo takto to mám, jen jsem chtěl logovat do adress listu ty IP co se snaží a banovat je.
0 x

Petr Bačina
Příspěvky: 1361
Registrován: 9 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 4 years ago

Na to se vykašli, protože těch adres jsou desítky tisíc a akorát si tím budeš zasírat address list a k ničemu ti to nebude. Jeden čas jsem měl nastaveno, že se měla adresa uložit na 24 hodin a během několika hodin tam bylo tolik adres, že jenom listování byl pro RBčko problém. Nahoď DROP a nech ho pracovat. Ty pokusy se postupně zpomalí. Jakmile tam necháš jenom omezení na IP v services, tak to budou zkoušet pořád, protože jim odpoví živé zařízení. DROP jim neodpoví a tak to dál zkoušet nebudou.
1 x