Ahoj,
pokouším se nastavit firewall MK 3011 proti scanu portů.
Našel jsem nastavení na https://wiki.mikrotik.com/wiki/Drop_port_scanners
Mám dvě otázky:
1. Nevím kam s těmi pravidly - kam v celkovém stromu pravidel
2. Je použit Adress list s pojmenováním "port scanners" - je nutné jej napřed ručně vytvořit? A pokud ano, jaké se má vyplnit adresa?
ad.1 - Na začátku filtru mám established , related, následně povolené tři porty pro komunikaci z venku
Dál je filtrace pro přihlášení do Sony PSN účtu jen z konzole
Vše ven povoleno
Dále blokace DDos a Botnetu z venku a nakonec vše zahozeno.
Snad je to k pochopení
ad.2 - mám za to že se do toho adress listu budou odchycené IP zapisovat a blokovat. Testoval jsem z venku scan z nějaké stránky, ale nic se neodchytlo.
Díky za případné rady
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Nastavení firewall proti scanu portu
Máš-li postaven firewall tak jak říkáš, tak je nějaká detekce portscanu tak nějak k ničemu - nechtěný provoz je blokován tak jako tak.
Ale jinak tu MK pravidla musíš dát za established, related a před konečný drop. A pokud mají tvá explicitní povolení fungovat vždy, tak až za ně. V podstatě tedy skoro nakonec před ten DROP ALL.
Poslední řádek z toho návodu bych pak nedával do filter/input, ale do raw/prerouting. Když už ten router zatížíš nějakou detekcí, tak tohle alespoň mu něco zase ušetří.
address-list se vytvoří sám, až k tomu bude důvod.
Ale jinak tu MK pravidla musíš dát za established, related a před konečný drop. A pokud mají tvá explicitní povolení fungovat vždy, tak až za ně. V podstatě tedy skoro nakonec před ten DROP ALL.
Poslední řádek z toho návodu bych pak nedával do filter/input, ale do raw/prerouting. Když už ten router zatížíš nějakou detekcí, tak tohle alespoň mu něco zase ušetří.
address-list se vytvoří sám, až k tomu bude důvod.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Děkuji Vám oběma.
0 x
Ještě mám jednu věc.
Dneska jsem koukal do Logu a mám pokusy pro připojení z venku na Winbox Dude. Winbox mám povolen jen z lokálu. Ale chtěl bych útočníky dávat do nějakého adress listu a kompletně banovat.
Může někdo poradit, jak na to?
Dneska jsem koukal do Logu a mám pokusy pro připojení z venku na Winbox Dude. Winbox mám povolen jen z lokálu. Ale chtěl bych útočníky dávat do nějakého adress listu a kompletně banovat.
Může někdo poradit, jak na to?
0 x
Beny44 píše:Ještě mám jednu věc.
Dneska jsem koukal do Logu a mám pokusy pro připojení z venku na Winbox Dude. Winbox mám povolen jen z lokálu. Ale chtěl bych útočníky dávat do nějakého adress listu a kompletně banovat.
Může někdo poradit, jak na to?
Winbox dude.jpg
IP services a nastavit jiný port na Winbox a bude klid, rovněž nastavit z jakých IP adres se dá hlásit do routeru. Rovněž nastavit v useres, které IP jsou akceptovány.
0 x
-
- Příspěvky: 1361
- Registrován: 9 years ago
- Bydliště: Horní Slavkov
- Kontaktovat uživatele:
Změna portu na winbox nebo /ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface="wan" action=drop
Nejlépe do firewallu drop na input všechno a udělat si jenom vyjímky.
Nejlépe do firewallu drop na input všechno a udělat si jenom vyjímky.
0 x
Mám winbox jen z lokálu a povolenou jen jednu ip. Ještě jsem nastavil users jen z lokální IP. To by mohlo stačit. Z venku je to blokovaný, to snad ta modrá barva v logu označuje, že je to drop.
0 x
Petr Bačina píše:Změna portu na winbox nebo /ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface="wan" action=drop
Nejlépe do firewallu drop na input všechno a udělat si jenom vyjímky.
Jo jo takto to mám, jen jsem chtěl logovat do adress listu ty IP co se snaží a banovat je.
0 x
-
- Příspěvky: 1361
- Registrován: 9 years ago
- Bydliště: Horní Slavkov
- Kontaktovat uživatele:
Na to se vykašli, protože těch adres jsou desítky tisíc a akorát si tím budeš zasírat address list a k ničemu ti to nebude. Jeden čas jsem měl nastaveno, že se měla adresa uložit na 24 hodin a během několika hodin tam bylo tolik adres, že jenom listování byl pro RBčko problém. Nahoď DROP a nech ho pracovat. Ty pokusy se postupně zpomalí. Jakmile tam necháš jenom omezení na IP v services, tak to budou zkoušet pořád, protože jim odpoví živé zařízení. DROP jim neodpoví a tak to dál zkoušet nebudou.
1 x