Šī ir veca dokumenta versija!
Bloķējam bruteforce paroļu pielasīšanas mēģinājumus Mikrotik rūterim.
Iekš /ip firewall filter
:
Atļaujam slēgties baltajā sarakstā esošajiem klientiem.
add action=drop chain=input dst-port=80 protocol=tcp src-address-list=!whitelist add chain=input dst-port=22 protocol=tcp src-address-list=whitelist
Nezināmiem klientiem atļaujam pāris mēģinājumus pieslēgties un ievadīt paroli. Ja klients neievada pareizi paroli, tad viņš tiek bloķēts. Piemērā - bloķēšana uz 10 dienām.
SSH:
add action=drop chain=input comment="drop ssh bruteforcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1h chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1h chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1h chain=input dst-port=22 protocol=tcp
Winbox:
Kā variants, var nobloķēt visus pieslēgumus no visām adresēm izņemot balto sarakstu.
Ja gadījumā ir nepieciešamība pieslēgties no dinamiskām IP adresēm, tad veicam, vispirms, „pieklauvēšanu“ ar noteikta lieluma ICMP paketi.
В случае если нужен доступ с неизвестных адресов я делаю ожидание icmp пакета (ping) определённого размера. Если такой пакет прилетает, то адрес источника добавляется в список allow-ip со временем в 1 час. При желании можно сделать каскад из таких пакетов.
/ip firewall filter add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input packet-size=683 protocol=icmp
Обратие внимание на размер пакета packet-size 683 байт. Но при пинговании Вы должны указывать на 28 байт меньше. В данном случае пинг из windows:
ping -l 655 myhostname.domain