Russian Users MikroTik | Форум пользователей MikroTik

Добрый день. На порт SSH постоянно ломятся брутфорс роботы и опасаюсь DDOS атаки пакетами нестандартного размера. Хочу решить эту проблему.

От DDOS создал правило в файрфоле, отправляющее в reject (icmp network unreacheble) все пинги на внешний IP адрес. Так правильно? Может лучше по другому или лучше вообще drop вместо reject?

По поводу брутфорса ssh нарыл статейку со скриптом:

Для SSH – разрешаем перебор не более 1 минуты с последующей блокировкой на 3 часа ( 3 h, 3 дня – 3d ) по желанию:

Код: Выделить всё

ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment=”drop ssh brute forcers” disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment=”" disabled=no

Так будет правильно? Будет ли такой вариант нормально защитой?

нормальный вариант. только если у вас управление железкой автоматизированное идёт. например биллинг периодически ходит на железку и что то там делает, не забудьте добавить свои адреса в исключение. потому что скрипт не регистрирует удачные\не удачны попытки авторизации, он регистрирует факт нового соединения по ssh.

еще как вариант развития, закрывать полностью доступ с чужих адресов, и через какой нибудь vpn тунель внутрь сети, получать доступ со своих адресов.

simpl3x писал(а):нормальный вариант. только если у вас управление железкой автоматизированное идёт. например биллинг периодически ходит на железку и что то там делает, не забудьте добавить свои адреса в исключение. потому что скрипт не регистрирует удачные\не удачны попытки авторизации, он регистрирует факт нового соединения по ssh.

еще как вариант развития, закрывать полностью доступ с чужих адресов, и через какой нибудь vpn тунель внутрь сети, получать доступ со своих адресов.

Т.е. от DDOS reject'ом я закрыт?

В целом ситуация такая: за микротиком терминальный сервак, к которому юзеры должны подключаться откуда угодно и с чего угодно, так что привязываться к определенным адресам я не могу. Единственное что сделал- редирект RDP порта)).

Скрипт для SSH вообще рабочий?

Его нужно под себя редактировать?

Билинга никакого нет, всё делаю руками через winbox)))

Ishimura писал(а):

simpl3x писал(а):нормальный вариант. только если у вас управление железкой автоматизированное идёт. например биллинг периодически ходит на железку и что то там делает, не забудьте добавить свои адреса в исключение. потому что скрипт не регистрирует удачные\не удачны попытки авторизации, он регистрирует факт нового соединения по ssh.

еще как вариант развития, закрывать полностью доступ с чужих адресов, и через какой нибудь vpn тунель внутрь сети, получать доступ со своих адресов.

Т.е. от DDOS reject'ом я закрыт?

В целом ситуация такая: за микротиком терминальный сервак, к которому юзеры должны подключаться откуда угодно и с чего угодно, так что привязываться к определенным адресам я не могу. Единственное что сделал- редирект RDP порта)).

Скрипт для SSH вообще рабочий?

Его нужно под себя редактировать?

Билинга никакого нет, всё делаю руками через winbox)))

стоп, скрипт с ping вообще никак не связан, он закрывает только ssh.

а как связано ssh на микротике и терминальный сервер за ним?

скрипт на первый взгляд рабочий, править под себя не надо. покрайней мере у меня примерно так и работает.

если вы делаете все руками через winbox, то зачем вам ssh? )))))

на тему пинга. я бы вообще запретил отвечать железке на внешний пинг, если вы боитесь его ddos

simpl3x писал(а):на тему пинга. я бы вообще запретил отвечать железке на внешний пинг, если вы боитесь его ddos

От DDOS у меня правило которое Reject icmp на внешний интерфейс.

А что касается SSH: в логах роботы ломятся на роутер! Хочу их отшить.

ну на тему картинки, скрипт должен помочь, три соединения в течении минуты и источник посылается на три часа отдыхать.

simpl3x писал(а):ну на тему картинки, скрипт должен помочь, три соединения в течении минуты и источник посылается на три часа отдыхать.

А как мне скрипт засунуть? Через терминал вбить? Или можно как то проще или по другому?

ну да, открываете консоль из winbox и копипастом туда.
в результате в разделе ip - firewall - filter rules, появятся новые правила. их желательно перетащить наверх, над всеми остальными правилами.