firewall rules работают неправильно

Обсуждение ПО и его настройки
beatlejuse
Сообщения: 6
Зарегистрирован: 06 фев 2017, 23:10

Доброго времени суток!
Столкнулся с непонятной ситуацией - правила файрвола работают как то неправильно.
Уже раз 10 всё перепроверил и вижу только два варианта - либо я слепой, либо косяк в прошивке))
Итак, Железка MikroTik RouterBoard RB1100AH с прошивкой v6.35.4
Настраиваю защиту от подбора паролей. Методика с добавлением в списки, описана много где.
Говорят есть на официальной вики микротика, но я там не нашёл, а нашел здесь http://www.helpset.ru/%D0%BA%D0%B0%D0%B ... %80%D0%B0/
в общем правила добавил. все, кроме запрещающего, на всякий случай, для отладки.
И оказалось совсем не зря, ибо у меня почему то при первом же подключении мой айпишник добавляется во все списки сразу!
Коротко опишу суть правил: (правила идут по порядку, в котором они и должны находиться)
1. самое верхнее правило - блокирует подключение с адресов, находящихся в блэк-листе (отключено для отладки)
2. второе правило - если сорс-адрес в списке №3 то пропустить подключение и добавить сорс-адрес в блэк-лист на 3 часа
3. третье - если сорс-адрес в списке №2 то пропустить подключение и добавить сорс-адрес в список №3 на 1 минуту
4. четвертое - если сорс-адрес в списке №1 то пропустить подключение и добавить сорс-адрес в список №2 на 1 минуту
5. пятое - если сорс-адрес новый то пропустить подключение и добавить сорс-адрес в список №1 на 1 минуту

Насколько я понимаю, в теории правила выполняются сверху вниз и при первом подключении первые 4 правила сработать никак не могут. Должно срабатывать только пятое правило.
Судя по тому, что у меня мой адрес появляется сразу во всех списках - срабатывают сразу все правила.

Возникает два вопроса: Как такое может быть и как от этого избавиться?
Помогите кто чем может!


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Слово из 6 букв, первая 'К', последняя 'Г'.
Ответ: "КОНФИГ".


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
beatlejuse
Сообщения: 6
Зарегистрирован: 06 фев 2017, 23:10

 Конфиг

Код: Выделить всё

[admin@MikroTik] > export 
# feb/07/2017 00:36:51 by RouterOS 6.35.4
# software id = 8904-2ZYG
#
/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp l2mtu=1588 mac-address=\
    xx:xx:xx:xx:xx:xx name=LAN-MASTER
set [ find default-name=ether1 ] l2mtu=1588 mac-address=\
    xx:xx:xx:xx:xx:xx name=WAN
set [ find default-name=ether6 ] name=ether1
set [ find default-name=ether7 ] name=ether2
set [ find default-name=ether3 ] l2mtu=1588 mac-address=\
    xx:xx:xx:xx:xx:xx master-port=WAN
set [ find default-name=ether4 ] l2mtu=1588 mac-address=\
    xx:xx:xx:xx:xx:xx master-port=WAN
set [ find default-name=ether5 ] l2mtu=1588 mac-address=\
    xx:xx:xx:xx:xx:xx master-port=WAN
set [ find default-name=ether8 ] name=ether25
set [ find default-name=ether9 ] name=ether26
set [ find default-name=ether10 ] name=ether27
set [ find default-name=ether11 ] name=ether28
set [ find default-name=ether12 ] name=ether29
set [ find default-name=ether13 ] name=ether30
/ip neighbor discovery
set WAN discover=no
/interface ethernet switch port
set 0 default-vlan-id=0 vlan-mode=fallback
set 1 default-vlan-id=0 vlan-mode=fallback
set 2 default-vlan-id=0 vlan-mode=fallback
set 3 default-vlan-id=0 vlan-mode=fallback
set 4 default-vlan-id=0 vlan-mode=fallback
/ip pool
add name=dhcp ranges=192.168.xx.xx-192.168.xx.xx
add name=vpn ranges=192.168.xx.xx-192.168.xx.xx
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=LAN-MASTER name=\
    dhcp1
/port
set 0 baud-rate=auto
/ppp profile
set *FFFFFFFE local-address=192.168.xx.xx remote-address=vpn
/snmp community
set [ find default=yes ] authentication-password=secret \
    authentication-protocol=SHA1 encryption-password=secret \
    encryption-protocol=AES name=mikrotik security=authorized
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxx use-ipsec=yes
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=xx.xx.xx.xx/xx interface=WAN network=xx.xx.xx.xx
add address=192.168.xx.xx/xx comment="Cluster local area" interface=\
    LAN-MASTER network=192.168.xx.xx
add address=xx.xx.xx.xx/xx comment="Production" interface=WAN \
    network=xx.xx.xx.xx
add address=xx.xx.xx.xx/xx comment="Sandbox" interface=WAN \
    network=xx.xx.xx.xx
add address=xx.xx.xx.xx/xx interface=WAN network=xx.xx.xx.xx
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=xx.xx.xx.xx client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    data-02 mac-address=xx:xx:xx:xx:xx:xx
add address=xx.xx.xx.xx client-id=xx:xx:xx:xx:xx:xx:xx mac-address=\
    xx:xx:xx:xx:xx:xx server=dhcp1
/ip dhcp-server network
add address=xx.xx.xx.xx/xx gateway=xx.xx.xx.xx netmask=24
add address=xx.xx.xx.xx/xx gateway=xx.xx.xx.xx netmask=24
/ip dns
set servers=xx.xx.xx.xx,xx.xx.xx.xx,8.8.8.8
/ip firewall address-list
add address=xx.xx.xx.xx/xx list=local
/ip firewall filter
add action=add-src-to-address-list address-list=webstage3 \
    address-list-timeout=1m chain=input comment="webstage2 -> webstage3" \
    connection-state=new dst-port=80 protocol=tcp src-address-list=\
    webstage2
add action=add-src-to-address-list address-list=webstage2 \
    address-list-timeout=1m chain=input comment="webstage1 -> webstage2" \
    connection-state=new dst-port=80 protocol=tcp src-address-list=\
    webstage1
add action=add-src-to-address-list address-list=webstage1 \
    address-list-timeout=1m chain=input comment="new -> webstage1" \
    connection-state=new dst-port=80 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="masq. vpn traffic" \
    src-address=xx.xx.xx.xx/xx
add action=masquerade chain=srcnat out-interface=WAN src-address=\
    xx.xx.xx.xx/xx
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
/ip route
add distance=1 gateway=xx.xx.xx.xx
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=80
set ssh address=xx.xx.xx.xx/xx
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=vpn password=xxxxx
/snmp
set enabled=yes location=office trap-interfaces=LAN-MASTER trap-version=\
    3
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system leds
add leds="" type=interface-activity
add leds="" type=interface-speed
add leds="" type=interface-activity
add leds="" type=interface-speed
/system resource irq rps
set WAN disabled=no
set LAN-MASTER disabled=no
set ether3 disabled=no
set ether4 disabled=no
set ether5 disabled=no
/system routerboard settings
set protected-routerboot=disabled
/tool bandwidth-server
set enabled=no
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether1


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Я что-то не понял, чего Вас удивляет?
Вы зашли первый раз, - создалось первое правило, далее браузер начинает грузить скрипты и картинки, и создаётся второй лист и после - третий.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
beatlejuse
Сообщения: 6
Зарегистрирован: 06 фев 2017, 23:10

ок.
т.е. я так понимаю, все эти примеры - фейковые?
а вы не подскажете, как реализовать защиту от перебора пароля, чтобы она работала?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

beatlejuse писал(а):ок.
т.е. я так понимаю, все эти примеры - фейковые?
а вы не подскажете, как реализовать защиту от перебора пароля, чтобы она работала?


Код: Выделить всё

/ip firewall filter add chain=input action=drop place-before=0
и подключайтесь тока по маку :-)

А если серьезно, то не используйте веб интерфейс для администрирования !

Воспользуйтесь поиском на форуме, это уже обсуждалось: viewtopic.php?f=3&t=7288&p=40582&hilit=blacklist#p40580


Александр
beatlejuse
Сообщения: 6
Зарегистрирован: 06 фев 2017, 23:10

да это всё понятно.
это вообще универсальный ответ - не используйте это.
но иногда нужно использовать именно так((


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Не использовать www по причине кривизны и ненадёжности это раз.
Использовать хороший пароль и логин отличный от 'admin' это два.
Разрешать доступ ко всем службам управления только изнутри сети это три.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
beatlejuse
Сообщения: 6
Зарегистрирован: 06 фев 2017, 23:10

algerka писал(а):Воспользуйтесь поиском на форуме, это уже обсуждалось: viewtopic.php?f=3&t=7288&p=40582&hilit=blacklist#p40580

да, там описан тот же метод со списками, только вид сбоку))
нужен какой то способ различать сессии. может connection mark можно использовать? если да, то я не знаю как. пробовал методом тыка - не помогло((


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Вот, посмотрите: https://www.youtube.com/watch?v=jeX1CDj5XZo


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить