Lietotāja rīki

Vietnes rīki


linux:mikrotik:bruteforce-pieslegumu-blokesana

Atšķirības

Norādītais vecais variants no patreizējās lapas atšķiras ar:

Saite uz salīdzināšanas skatu.

linux:mikrotik:bruteforce-pieslegumu-blokesana [22.05.2018 10:48]
Imants
linux:mikrotik:bruteforce-pieslegumu-blokesana [06.06.2019 09:02]
Rinda 1: Rinda 1:
-====== Bruteforce pieslēgšanās mēģinājumu bloķēšana ====== 
  
-Bloķējam bruteforce paroļu pielasīšanas mēģinājumus Mikrotik rūterim. 
- 
-Iekš ''/​ip firewall filter'':​ 
- 
-Atļaujam slēgties baltajā sarakstā esošajiem klientiem. 
-<​code>​ 
-add action=drop chain=input dst-port=80 protocol=tcp src-address-list=!whitelist 
-add chain=input dst-port=22 protocol=tcp src-address-list=whitelist 
-</​code>​ 
- 
-Nezināmiem klientiem atļaujam pāris mēģinājumus pieslēgties un ievadīt paroli. Ja klients neievada pareizi paroli, tad viņš tiek bloķēts. Piemērā - bloķēšana uz 10 dienām. 
- 
-**SSH:** 
- 
-<​code>​ 
-add action=drop chain=input comment="​drop ssh bruteforcers"​ dst-port=22 protocol=tcp src-address-list=ssh_blacklist 
-add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage3 
-add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1h chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage2 
-add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1h chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage1 
-add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1h chain=input dst-port=22 protocol=tcp 
-</​code>​ 
- 
-**Winbox:** 
- 
-<​code>​ 
-</​code>​ 
- 
-===== Ping cnocking ===== 
- 
-Kā variants, var nobloķēt visus pieslēgumus no visām adresēm izņemot balto sarakstu. 
- 
-Ja gadījumā ir nepieciešamība pieslēgties no dinamiskām IP adresēm, tad veicam, vispirms, "​pieklauvēšanu"​ ar noteikta lieluma ICMP paketi. 
- 
-В случае если нужен доступ с неизвестных адресов я делаю ожидание icmp пакета (ping) определённого размера. Если такой пакет прилетает,​ то адрес источника добавляется в список allow-ip со временем в 1 час. При желании можно сделать каскад из таких пакетов. 
- 
-<​code>​ 
-/ip firewall filter 
-add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input packet-size=683 protocol=icmp 
-</​code>​ 
-Обратие внимание на размер пакета packet-size 683 байт. Но при пинговании Вы должны указывать на 28 байт меньше. В данном случае пинг из windows: 
- 
-<​code>​ 
-ping -l 655 myhostname.domain 
-</​code>​ 
- 
-{{tag>​mikrotik bruteforce drošība}} 
linux/mikrotik/bruteforce-pieslegumu-blokesana.txt · Labota: 06.06.2019 09:02 (ārpussistēmas labojums)