Dobrý den,
poslední dobou se mi snaží dostat do MK přes PPTP někdo z adresou 123.151.149.XXX potřeboval bych poradit, jak tomu zamezit.
Stačí následující?
Ve filtru dát před pravidlo, kde povoluji Input TCP s portem pptp následující?
__Filter__
General: Chain -> Input
Advance: Src. Adress List -> blokace_pristupu
Action: Action-> Drop
blokace_pristupu - definovat IP co se mi tam snaží dostat...
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Zakazani pristupu
-
neverhappy
- Příspěvky: 565
- Registrován: 19 years ago
Proti utokum na routery pouzivam toto na zacatku firewallu
pak samozrejme povolis adresy klientu a na konec das pro kazdy interface (nazev interface zmen)
Snad to bude fungovat.
/ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers"
/ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
/ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \ address-list=ftp_blacklist address-list-timeout=3h
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute downstream" disabled=no
pak samozrejme povolis adresy klientu a na konec das pro kazdy interface (nazev interface zmen)
/ip firewall filter add chain=forward in-interface=wlan1 action=log src-address-list=!zalogovano-wlan1 limit=6/1m,6 log-prefix="Nepovolena IP z interface wlan1 " comment="LOG_ALL - wlan1"
/ip firewall filter add chain=forward in-interface=wlan1 action=add-src-to-address-list address-list=zalogovano-wlan1 address-list-timeout=12h src-address-list=!zalogovano-wlan1
/ip firewall filter add chain=forward in-interface=wlan1 action=drop comment="DROP_ALL - wlan1"
Snad to bude fungovat.
0 x
Děkuji za pomoc, ale to neřeší to co potřebuji 
Já mám na INPUTU povoleny jenom LAN rozsah + z WAN TCP 1723 (PPTP), pak input DROP.
Jde mi o to, abych blokl IP co se mi snaží dostat na PPTP (v logu je pořád jedna IP co to zkouší...)
A co kdyby se dalo do pravidla kde mám toto:
/ip filter add chain=imput protocol=tcp dst-port=1723 action=accept
něco ve stylu:
/ip filter add chain=imput protocol=tcp dst-port=1723 !Src. Adress List=blokovane_IP action=accept
Já mám na INPUTU povoleny jenom LAN rozsah + z WAN TCP 1723 (PPTP), pak input DROP.
Jde mi o to, abych blokl IP co se mi snaží dostat na PPTP (v logu je pořád jedna IP co to zkouší...)
A co kdyby se dalo do pravidla kde mám toto:
/ip filter add chain=imput protocol=tcp dst-port=1723 action=accept
něco ve stylu:
/ip filter add chain=imput protocol=tcp dst-port=1723 !Src. Adress List=blokovane_IP action=accept
0 x
Kód: Vybrat vše
/ip firewall filter
add action=drop chain=input disabled=no dst-port=1723 protocol=tcp src-address-list=blokovane_ip
add action=accept chain=input disabled=no dst-port=1723 protocol=tcp
0 x
kvalita tohoto fóra klesla pod hranici, která je snesitelná
Velice děkuji 
takto jsem to zamýšlel, ale bál jsem se to aplikovat... za routerem visí hodně lidí...
Teď trochu z jiného soudku:-)
Ještě bych se chtěl zeptat, jestli ovládáte stavový firewall tj. Established, Related, NEW,... nedokázal jsem pochopit jak to funguje Lidi si to nadefinují na začátku ve filtru a pak už to nikde neaplikují tj:
ip firewall filter
add chain=input connection-state=invalid action=drop \
comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \
comment="Allow Established connections"
add chain=input protocol=icmp action=accept \
/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid \
action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept \
comment="allow already established connections"
takto jsem to zamýšlel, ale bál jsem se to aplikovat... za routerem visí hodně lidí...Teď trochu z jiného soudku:-)
Ještě bych se chtěl zeptat, jestli ovládáte stavový firewall tj. Established, Related, NEW,... nedokázal jsem pochopit jak to funguje
Lidi si to nadefinují na začátku ve filtru a pak už to nikde neaplikují tj:ip firewall filter
add chain=input connection-state=invalid action=drop \
comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \
comment="Allow Established connections"
add chain=input protocol=icmp action=accept \
/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid \
action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept \
comment="allow already established connections"
0 x