Vyřešeno - Script na kontrolu logu VPN připojení

pelirob

Zdravím,
začaly se nám na MK routeru množit pokusy o hádání hesla na VPNky a tak jsem chtěl preventivně dát útočící adresy na blacklist a řezat je už v RAW pravidlech. Ručně mě to brzo přestalo bavit a našel jsem na to na internetu script. Víceméně funguje podle potřeby - prohledá log, vyzobe ty správné útočící adresy, vytvoří z nich address-list. Akorát pokaždé skončí chybou "failure: already have such entry" a na konci address listu se vždy objeví IP adresa 0.0.0.0
Asi zběžně chápu, co ten script dělá, ale přiznám se, že moje znalosti scriptování a parsování logů nejsou na takové úrovni, abych přišel na to, kde je chyba.
Nenašel by se tu prosím někdo, kdo tomu rozumí o dost víc než já a tu chybu odhalí?
Děkuji za rady

:local logMessage ""
:local logIp ""
/log
:foreach i in=[find where message~"phase1 negotiation failed\\." or message~"SPI.*not regist" or message~"Invalid exchange"] do={
    :set logMessage [get $i message]

    :if ($logMessage~"phase1 negotiation failed\\.") do={
        :set logIp [:toip [:pick $logMessage -1 [:find $logMessage " "]]]
        :if ([:len [/ip fire addr find where list="Black List - Bots" address=$logIp]] < 1) do={
            /ip fire addr add address=$logIp list="Black List - Bots" timeout=7d
            :log info message="script=Black List - Bots src_ip=$logIp why=negotiation_failed"
        }
    }

    :if ($logMessage~"SPI .* not registered for") do={
        :set logIp [:toip [:pick $logMessage ([:find $logMessage "for "]+4) [:find $logMessage "["]]]
        :if ([:len [/ip fire addr find where list="Black List - Bots" address=$logIp]] < 1) do={
            /ip fire addr add address=$logIp list="Black List - Bots" timeout=7d
			:log info message="script=Black List - Bots src_ip=$logIp why=SPI_not_registered"
        }
    }

    :if ($logMessage~"Invalid exchange") do={
        :set logIp [:toip [:pick $logMessage ([:find $logMessage "from "]+5) [:find $logMessage "["]]]
        :if ([:len [/ip fire addr find where list="Black List - Bots" address=$logIp]] < 1) do={
            /ip fire addr add address=$logIp list="Black List - Bots" timeout=7d
			:log info message="script=Black List - Bots src_ip=$logIp why=Invalid_exchange"
        }
    }
}
```__

iTomB

Tak pouzij script ode me, co tu byl pred par dny. Pokusy o napojeni na sluzbu. Stejny princip porad 😉

pelirob

iTomB Jenze me zadna adaptace scriptu na bruteforce login u L2TP VPN nefungovala, ani ten Tvuj script, proto jsem chtel parsovat logy a ty IP adresy vybirat z toho.
Na L2TP mi zafungoval az tahle modifikace firewallu, akorat teda zatim vubec nechapu, proc na utoky zvenci funguji pravidla zalozena na chain=output !
Jeste se mam stale co ucit...😀

iTomB

pelirob No tak tos mel neco blbe 😃 protoze ten script pouziva uplne to same co jsem tehda psal ja 😃 Minimalne port 1701. Ta druha cast muze byt az nasledne zpusob navazovani L2TP.

iTomB

pelirob No jedna vec co tam je, ten output je z duvodu, ze detekuji chybne spojeni content="M=bad"
Jedna vec mi je tam divna, ty kratky timeouty 😉
Mno a nejak posledni verze meho scriptu (kazdej si doupravi dle sebe - typy portu atd ...)
/ip firewall filter add action=jump chain=input connection-state=new dst-port=22,53 in-interface-list=WAN jump-target=BFTEST protocol=tcp add action=jump chain=input connection-state=new dst-port=53,1701,500,4500 in-interface-list=WAN jump-target=BFTEST protocol=udp add action=jump chain=forward connection-state=new dst-port=8080 in-interface-list=WAN jump-target=BFTEST protocol=tcp add action=add-src-to-address-list address-list=PORTKNOCK address-list-timeout=1m chain=input dst-port=12345 in-interface-list=WAN protocol=tcp add action=return chain=BFTEST src-address-list=WHITELIST add action=return chain=BFTEST src-address-list=PORTKNOCK add action=drop chain=BFTEST src-address-list=DROPLIST add action=add-src-to-address-list address-list=DROPLIST address-list-timeout=none-static chain=BFTEST src-address-list=BFStage2 add action=add-src-to-address-list address-list=BFStage2 address-list-timeout=1h chain=BFTEST src-address-list=BFStage1 add action=add-src-to-address-list address-list=BFStage1 address-list-timeout=1h chain=BFTEST

V pripade, ze tam doplnite i porty co se nepouzivaji, tak to muze testovat port scannery 😉

pelirob

No tak zrovna timeouty mě netrápí, ty si změním kdykoliv podle sebe.
Tu tvoji modernizovanou variantu určitě vyzkouším, akorát na první náhled bych asi ten drop dělal už v RAW pravidlech, mělo by to být rychlejší...

iTomB

pelirob Da se, ja to sestavoval chvili. A takhle to mam spis kvuli prehledu, ze mam vse pekne najednou videt.

pelirob

Tak chyby ve scriptu nalezeny a odstraněny. Doplnil jsem kontrolu duplicitních IP adres v různých typech záznamů.
Script umí prohledat log na výskyt následujících typů chybových hlášek:

11.22.33.44 phase1 negotiation failed.
phase1 negotiation failed due to time up 22.33.44.55[500]
SPI 4843fe39ee361386 not registered for 22.33.44.55[4500]

z každého nalezeného řádku vyzobe IP dresu a dá ji na black-list.
Lepit to sem nebudu, má to i s komentářema přes 60 řádků, ale šíření se nebráním. Napiště PM, jestli to někdo budete potřebovat.

ef

pelirob
Prosím o poslání scriptu na ejcej@seznam.cz

Děkuji.