Защита порта

Обсуждение ПО и его настройки
Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

Здравствуйте. Возникла необходимость защитить порт от брутфорса. На входе стоит роутер (происхождение меняется от точки к точке, к счастью заменил бы, но некоторые заведены по оптике), он раздает интернет и прокинут на него порт RDP. В логах Windows постоянно горит аудит отказа, пытаются взломать учетку. Решил защитить порт путем создания правила.

Код: Выделить всё

 
 /ip firewall filter

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 in-interface=Internet action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 in-interface=Internet action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 in-interface=Internet action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no
На домашнем микроте попробовал, все хорошо, после нескольких попыток входа ip адрес улетает в бан. Попытался сделать такую схему.
Роутер на входе -----> Микротик и там создано такое же правило на входящий интерфейс, но оно не отрабатывает.
Микротик после роутера настроен по быстрой настройке, в режиме CAP. Прошу помощи, как завести правило?
На форуме ничего подобного не нашел, если есть, буду рад ссылке.
Заранее спасибо


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если у вас Микротик в режиме CAP, то значит где-то должен работать и CAPsMAN для него - на нем и фильтруйте.


Telegram: @thexvo
Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

xvo писал(а): 01 ноя 2019, 09:45 Если у вас Микротик в режиме CAP, то значит где-то должен работать и CAPsMAN для него - на нем и фильтруйте.
Так, а если я настрою его в режиме Home AP, то я смогу с него фильтровать? На входе стоят HUAWEI HG8245, только после него стоит mikrotik с настройкой CAP.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Dunlop писал(а): 01 ноя 2019, 09:08 На входе стоит роутер (происхождение меняется от точки к точке, к счастью заменил бы, но некоторые заведены по оптике), он раздает интернет и прокинут на него порт RDP.
Dunlop писал(а): 01 ноя 2019, 09:08 Роутер на входе -----> Микротик и там создано такое же правило на входящий интерфейс, но оно не отрабатывает.
Микротик после роутера настроен по быстрой настройке, в режиме CAP.
Dunlop писал(а): 02 ноя 2019, 21:00 На входе стоят HUAWEI HG8245, только после него стоит mikrotik с настройкой CAP.
Рисуйте схему что-то сильно путано объясняете.
врага нужно ловить на входе


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Dunlop писал(а): 02 ноя 2019, 21:00 Так, а если я настрою его в режиме Home AP, то я смогу с него фильтровать? На входе стоят HUAWEI HG8245, только после него стоит mikrotik с настройкой CAP.
CAP - это режим, когда точкой управляет контроллер.
Как я понимаю никакого контроллера у вас нет, и вам этот режим вообще не нужен.

Если вы не хотите (или не можете) ничего фильтровать на хуавеях, которые стоят на входе, тогда переводите их в режим моста, и пусть у вас тогда микротик работает маршрутизатором в режиме home AP.


Telegram: @thexvo
Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

xvo писал(а): 02 ноя 2019, 22:48
Dunlop писал(а): 02 ноя 2019, 21:00 Так, а если я настрою его в режиме Home AP, то я смогу с него фильтровать? На входе стоят HUAWEI HG8245, только после него стоит mikrotik с настройкой CAP.
CAP - это режим, когда точкой управляет контроллер.
Как я понимаю никакого контроллера у вас нет, и вам этот режим вообще не нужен.

Если вы не хотите (или не можете) ничего фильтровать на хуавеях, которые стоят на входе, тогда переводите их в режим моста, и пусть у вас тогда микротик работает маршрутизатором в режиме home AP.
А если не переводить HUAWEI в мост, то как тогда правильно настроить Mikrotik?


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Его тоже нужно настроить роутером и на нем тоже сделать проброс порта.
Нарисуйте схему без нее качественных советов не получите.
Сегодня выходной и бубном пользоваться не хочется что бы гадать как оно там у Вас.
При заводской преднастройке САР устройство превращается в обычный свич с WiFi. А если нет менеджера то wifi не работает.

PS можно конечно пытаться фильтровать и на бридже, но "не красиво" это :-)


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

Ca6ko писал(а): 03 ноя 2019, 13:37 Его тоже нужно настроить роутером и на нем тоже сделать проброс порта.
Нарисуйте схему без нее качественных советов не получите.
Сегодня выходной и бубном пользоваться не хочется что бы гадать как оно там у Вас.
При заводской преднастройке САР устройство превращается в обычный свич с WiFi. А если нет менеджера то wifi не работает.

PS можно конечно пытаться фильтровать и на бридже, но "не красиво" это :-)

Изображение


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Насколько я понял, ТС пользуется Quick Set. Я думаю, что вам придётся как минимум показать конфигурацию роутера. И не факт, что это поможет. Ну не пользуются Quick Set местные. Поэтому и не знают, что там меняется в настройках при установке той или иной галочки.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

podarok66 писал(а): 03 ноя 2019, 13:51 Насколько я понял, ТС пользуется Quick Set. Я думаю, что вам придётся как минимум показать конфигурацию роутера. И не факт, что это поможет. Ну не пользуются Quick Set местные. Поэтому и не знают, что там меняется в настройках при установке той или иной галочки.
На HUAWEI был включен проброс порта до конечного компьютера. Я пытаюсь настроить правила firewall'а на проброс порта до конечного комьютера + остеивание ip адресов, которые пытались ввести пароль более 5 раз. Но счетчики показывают 0. И тут возник вопрос, а если отключить проброс порта на HUAWEI, то будет ли работать правило? Сейчас под рукой свободного микротика нет. Попробовать не могу, вопрос из теоретической части.
Если есть возможность, прошу подсказать полный алгоритм, чтобы настройки фильтрации были на Микротике.


Ответить