Создание правильного Белого листа для RDP. Аналог fail2ban.

Обсуждение ПО и его настройки
Ответить
casio81
Сообщения: 28
Зарегистрирован: 15 фев 2020, 14:35

Здравствуйте, есть такое решение. Все работает на ура. (Аналог fail2ban)

ip firewall filter

add chain=forward protocol=tcp dst-port=1080 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

Вопрос: как сделать, так, чтобы конкретные IP Не попадали в blacklist
Подключения в основном динамические, но есть и статика.
В идеале мне нужен whitelist. Но как это сделать правильно?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Код: Выделить всё

ip firewall filter

add chain=forward protocol=tcp dst-port=1080 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new src-address-list=!white_address action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
А уж в лист white_address занесите свои адреса...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
casio81
Сообщения: 28
Зарегистрирован: 15 фев 2020, 14:35

Спасибо большое! Всё работает.


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

А никто не сравнивал затратность по ресурсам?
Вариант с пробросом наружу RDP и набором защитных правил, и вариант RDP через VPN.

Сколько нужно одновременных соединений, чтобы первый вариант стал ощутимо выгоднее?


halfsky
Сообщения: 2
Зарегистрирован: 27 мар 2020, 08:39

Здравствуйте, очень понравилась Ваша идея, но хоть убей- не работает белый лист , где то косячу
С учетом , того , что я полный нуб в микротах, опишу свои действия пошагово

0)обновился до 6.46.4
1) накатил стандартную конфигурацию
2) настроил тырнет через квик сет
3) добавил этот скрипт через терминал

ip firewall filter

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=!white_address action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

в итоге получилось


Изображение


затем вошел во вкладку Adress Lists и создал там следующие листы (!white_address , rdp_stage1, rdp_stage2, rdp_stage3, rdp_blacklist)



Изображение

Затем добавил в !white_address ip с которого все тестировал

но на четвертой попытке неправильного ввода он банит этот айпи несмотря на его присутствие в этом списке.

Подскажите плиз, в чем может быть проблема


casio81
Сообщения: 28
Зарегистрирован: 15 фев 2020, 14:35

halfsky писал(а): 27 мар 2020, 12:55 Здравствуйте, очень понравилась Ваша идея, но хоть убей- не работает белый лист , где то косячу
С учетом , того , что я полный нуб в микротах, опишу свои действия пошагово

0)обновился до 6.46.4
1) накатил стандартную конфигурацию
2) настроил тырнет через квик сет
3) добавил этот скрипт через терминал

ip firewall filter

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=!white_address action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

в итоге получилось


Изображение


затем вошел во вкладку Adress Lists и создал там следующие листы (!white_address , rdp_stage1, rdp_stage2, rdp_stage3, rdp_blacklist)



Изображение

Затем добавил в !white_address ip с которого все тестировал

но на четвертой попытке неправильного ввода он банит этот айпи несмотря на его присутствие в этом списке.

Подскажите плиз, в чем может быть проблема
Может из-за адреса по умолчанию 0.0.0.0
Попробуй другой адрес.
Скрипт работает 100% на 4 микротах.


maxkerch
Сообщения: 9
Зарегистрирован: 11 янв 2016, 23:35

halfsky писал(а): 27 мар 2020, 12:55 затем вошел во вкладку Adress Lists и создал там следующие листы (!white_address ,
название address-list без "!"


Ответить