Zdravim,
Už týden se tu marně mořím, nenapadá nekoho jak na MT nastavit aby při zadání špatného hesla třeba 3x za sebou byl nejaký časový limit po kterej se tam nepujde přihlásit :?:
Nikde ve forech sem nic otomto nenašel může mi někdo pomoct?
Firewall - Pravidlo pro přístup
Dobrý den,
nevím jestli to jde omezit na počet špatně zadaných pokusů při zadávání hesla, ale tento problém by šel rešit počtem navázaných spojení.
Např.: "při přihlášení 3X do minuty na definovaný port počkej 1 minutu a pak opět povol přihlašování"
Osobně bych to řešil "otevřením" definovaného portu jen pro IP adresy, které by měly mít přístup pro jakékoliv přihlašování do systému Mikrotik.
Pro zbytek IP adres bych přístup blokoval.
S pozdravem
Vlastimil Drázský
Dobrý den,
Děkuji za vaši odpověd, no on je trochu problém v tom že občas je potřeba se připojit oněkud z jiné sítě do MK a provést nějaké změny, tudíž blokovat IP mimo list je u mě bohužel tabu... a přidávat do listu ty co se tam snaží připojit tak nebudu dělat celej večer nic jinýho
Zkoušel jsem to právě zmyňovaným způsobem definování daného portu ale nějak to nereagovalo...
Pokud by se vám to podařilo rozchodit hoïtě sem prosím export, věřím že by se to hodilo i dalším.
Díky za spolupráci :)
Tak jsem vytvořil několik pravidel, která umožní již navázaným spojením na port 23 pracovat dále.
Nová spojení na port 23 nejprve zaloguje 1 x 1min (v logu bude vždy jen 1 záznam ke každé IP za 1 minutu). Dále pak umožní návazat pouze 3 nová spojení na port 23 za 1 minutu. Pokud se někdo pokusí navázat více spojení než 3 za 1 minutu, bude port 23 na 1 minutu odmítat veškerá spojení s hláškou "tcp-reset".
Pravidla:
0 chain=input protocol=tcp dst-port=23 connection-state=established
action=accept
1 chain=input protocol=tcp dst-port=23 connection-state=related
action=accept
2 chain=input protocol=tcp dst-port=23 limit=1/1m,0 connection-state=new
action=log log-prefix="telnet_login:"
3 chain=input protocol=tcp dst-port=23 limit=1/1m,2 connection-state=new
action=accept
4 chain=input protocol=tcp dst-port=23 connection-state=new action=reject
reject-with=tcp-reset
ja tohle resim pomovi VPN,mam povoleny jen rozsahy z vnitri site, ostatni blokuju. Funguje to docela ok
Nemůžu si pomoct ale ty pravidla proste nefungují...
klido na to mužu nepřetržite solit další přihléšení a nic se neděje...
Někde bude asi chybka
Co se vpn týče, somozdřejmě dobrá věc, ale né když se potřebujete připojit z nejakýho jinyho kompu kde nemůžete instalovat VPN klienta
Uvedená pravidla jsem odzkoušel a mě na mém routeru fungují jak mají.
Nejspíše máte ještě někde chybku.
Bylo by dobré třeba vystavit demo účet a můžeme to odladit. :
OK tady je demčo na muj stroj přímo doma
217.115.242.8
Login
pass
Díky moc
díky moc za poskytnutí dema, ale hlásí to wrong...
Když tedy nechceš zpřístupňovat přístup, vypsal bys sem aspoň obsah té tvé profilace?
Díky
No kdyby jsi pozorně četl tak se nejedna o moji profilaci ale o profilaci MR. VDR kterému děkuji za spolupráci...
Pravidla vypadají že již funguji, alespom podle logu...
Budu se snazit to ještě nejak okořenit.
Jinak kdyby někdo přišel jak by se to dalo řešit jinak a zajímavě tak rozhodně nejsem proti cokoliv vyzkoušet.
export zde:
add chain=input protocol=tcp dst-port=22 connection-state=established \
action=accept comment="SSH 22" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=related \
action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,0 connection-state=new \
action=log log-prefix="ssh spatne heslo:" comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,2 connection-state=new \
action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset \
comment="" disabled=no
o 2 měsíce později
není jednoduchší úplně zakázat porty 22 a 23 dát je na firewalli action tarpit a provoz přeNATovat na jiný port, nebo ještě lépe změnit přímo v service port porty na tyto služby ;-)
o 3 roky později
No kdyby jsi pozorně četl tak se nejedna o moji profilaci ale o profilaci MR. VDR kterému děkuji za spolupráci...Pravidla vypadají že již funguji, alespom podle logu...
Budu se snazit to ještě nejak okořenit.
Jinak kdyby někdo přišel jak by se to dalo řešit jinak a zajímavě tak rozhodně nejsem proti cokoliv vyzkoušet.
export zde:
add chain=input protocol=tcp dst-port=22 connection-state=established \
action=accept comment="SSH 22" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=related \
action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,0 connection-state=new \
action=log log-prefix="ssh spatne heslo:" comment="" disabled=no
add chain=input protocol=tcp dst-port=22 limit=1/1m,2 connection-state=new \
action=accept comment="" disabled=no
add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset \
comment="" disabled=no
ahoj tak ja to testujem mohol by si prosim ta napisat aku hodnotu zadat v limit aby sa to bloklo na 1 hodinu a na cely den si heslo dobre pametam tak v omyloch problem nemam a kto tam nema co robit nech tam neni.