Firewall - Pravidlo pro přístup

jio̷istanek

Zdravim,

Už týden se tu marně mořím, nenapadá nekoho jak na MT nastavit aby při zadání špatného hesla třeba 3x za sebou byl nejaký časový limit po kterej se tam nepujde přihlásit :?:

Nikde ve forech sem nic otomto nenašel může mi někdo pomoct?

vdr

Dobrý den,

nevím jestli to jde omezit na počet špatně zadaných pokusů při zadávání hesla, ale tento problém by šel rešit počtem navázaných spojení.

Např.: "při přihlášení 3X do minuty na definovaný port počkej 1 minutu a pak opět povol přihlašování"

Osobně bych to řešil "otevřením" definovaného portu jen pro IP adresy, které by měly mít přístup pro jakékoliv přihlašování do systému Mikrotik.

Pro zbytek IP adres bych přístup blokoval.

S pozdravem

Vlastimil Drázský

jio̷istanek

Dobrý den,

Děkuji za vaši odpověd, no on je trochu problém v tom že občas je potřeba se připojit oněkud z jiné sítě do MK a provést nějaké změny, tudíž blokovat IP mimo list je u mě bohužel tabu... a přidávat do listu ty co se tam snaží připojit tak nebudu dělat celej večer nic jinýho

Zkoušel jsem to právě zmyňovaným způsobem definování daného portu ale nějak to nereagovalo...

Pokud by se vám to podařilo rozchodit hoïtě sem prosím export, věřím že by se to hodilo i dalším.

Díky za spolupráci :)

vdr

Tak jsem vytvořil několik pravidel, která umožní již navázaným spojením na port 23 pracovat dále.

Nová spojení na port 23 nejprve zaloguje 1 x 1min (v logu bude vždy jen 1 záznam ke každé IP za 1 minutu). Dále pak umožní návazat pouze 3 nová spojení na port 23 za 1 minutu. Pokud se někdo pokusí navázat více spojení než 3 za 1 minutu, bude port 23 na 1 minutu odmítat veškerá spojení s hláškou "tcp-reset".

Pravidla:

0 chain=input protocol=tcp dst-port=23 connection-state=established

action=accept

1 chain=input protocol=tcp dst-port=23 connection-state=related

action=accept

2 chain=input protocol=tcp dst-port=23 limit=1/1m,0 connection-state=new

action=log log-prefix="telnet_login:"

3 chain=input protocol=tcp dst-port=23 limit=1/1m,2 connection-state=new

action=accept

4 chain=input protocol=tcp dst-port=23 connection-state=new action=reject

reject-with=tcp-reset

jahoo

ja tohle resim pomovi VPN,mam povoleny jen rozsahy z vnitri site, ostatni blokuju. Funguje to docela ok

jio̷istanek

Nemůžu si pomoct ale ty pravidla proste nefungují...

klido na to mužu nepřetržite solit další přihléšení a nic se neděje...

Někde bude asi chybka

Co se vpn týče, somozdřejmě dobrá věc, ale né když se potřebujete připojit z nejakýho jinyho kompu kde nemůžete instalovat VPN klienta

vdr

Uvedená pravidla jsem odzkoušel a mě na mém routeru fungují jak mají.

Nejspíše máte ještě někde chybku.

Bylo by dobré třeba vystavit demo účet a můžeme to odladit. :

jio̷istanek

OK tady je demčo na muj stroj přímo doma

217.115.242.8

pass

Díky moc

truefriend-cz

díky moc za poskytnutí dema, ale hlásí to wrong...

Když tedy nechceš zpřístupňovat přístup, vypsal bys sem aspoň obsah té tvé profilace?

Díky

jio̷istanek

No kdyby jsi pozorně četl tak se nejedna o moji profilaci ale o profilaci MR. VDR kterému děkuji za spolupráci...

Pravidla vypadají že již funguji, alespom podle logu...

Budu se snazit to ještě nejak okořenit.

Jinak kdyby někdo přišel jak by se to dalo řešit jinak a zajímavě tak rozhodně nejsem proti cokoliv vyzkoušet.

export zde:

add chain=input protocol=tcp dst-port=22 connection-state=established \

action=accept comment="SSH 22" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=related \

action=accept comment="" disabled=no

add chain=input protocol=tcp dst-port=22 limit=1/1m,0 connection-state=new \

action=log log-prefix="ssh spatne heslo:" comment="" disabled=no

add chain=input protocol=tcp dst-port=22 limit=1/1m,2 connection-state=new \

action=accept comment="" disabled=no

add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset \

comment="" disabled=no

nimir

není jednoduchší úplně zakázat porty 22 a 23 dát je na firewalli action tarpit a provoz přeNATovat na jiný port, nebo ještě lépe změnit přímo v service port porty na tyto služby ;-)

netko

No kdyby jsi pozorně četl tak se nejedna o moji profilaci ale o profilaci MR. VDR kterému děkuji za spolupráci...

Pravidla vypadají že již funguji, alespom podle logu...

Budu se snazit to ještě nejak okořenit.

Jinak kdyby někdo přišel jak by se to dalo řešit jinak a zajímavě tak rozhodně nejsem proti cokoliv vyzkoušet.

export zde:

add chain=input protocol=tcp dst-port=22 connection-state=established \

action=accept comment="SSH 22" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=related \

action=accept comment="" disabled=no

add chain=input protocol=tcp dst-port=22 limit=1/1m,0 connection-state=new \

action=log log-prefix="ssh spatne heslo:" comment="" disabled=no

add chain=input protocol=tcp dst-port=22 limit=1/1m,2 connection-state=new \

action=accept comment="" disabled=no

add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset \

comment="" disabled=no

ahoj tak ja to testujem mohol by si prosim ta napisat aku hodnotu zadat v limit aby sa to bloklo na 1 hodinu a na cely den si heslo dobre pametam tak v omyloch problem nemam a kto tam nema co robit nech tam neni.