Доброго времени суток!
Столкнулся с непонятной ситуацией - правила файрвола работают как то неправильно.
Уже раз 10 всё перепроверил и вижу только два варианта - либо я слепой, либо косяк в прошивке))
Итак, Железка MikroTik RouterBoard RB1100AH с прошивкой v6.35.4
Настраиваю защиту от подбора паролей. Методика с добавлением в списки, описана много где.
Говорят есть на официальной вики микротика, но я там не нашёл, а нашел здесь http://www.helpset.ru/%D0%BA%D0%B0%D0%B ... %80%D0%B0/
в общем правила добавил. все, кроме запрещающего, на всякий случай, для отладки.
И оказалось совсем не зря, ибо у меня почему то при первом же подключении мой айпишник добавляется во все списки сразу!
Коротко опишу суть правил: (правила идут по порядку, в котором они и должны находиться)
1. самое верхнее правило - блокирует подключение с адресов, находящихся в блэк-листе (отключено для отладки)
2. второе правило - если сорс-адрес в списке №3 то пропустить подключение и добавить сорс-адрес в блэк-лист на 3 часа
3. третье - если сорс-адрес в списке №2 то пропустить подключение и добавить сорс-адрес в список №3 на 1 минуту
4. четвертое - если сорс-адрес в списке №1 то пропустить подключение и добавить сорс-адрес в список №2 на 1 минуту
5. пятое - если сорс-адрес новый то пропустить подключение и добавить сорс-адрес в список №1 на 1 минуту
Насколько я понимаю, в теории правила выполняются сверху вниз и при первом подключении первые 4 правила сработать никак не могут. Должно срабатывать только пятое правило.
Судя по тому, что у меня мой адрес появляется сразу во всех списках - срабатывают сразу все правила.
Возникает два вопроса: Как такое может быть и как от этого избавиться?
Помогите кто чем может!
firewall rules работают неправильно
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Слово из 6 букв, первая 'К', последняя 'Г'.
Ответ: "КОНФИГ".
Ответ: "КОНФИГ".
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Я что-то не понял, чего Вас удивляет?
Вы зашли первый раз, - создалось первое правило, далее браузер начинает грузить скрипты и картинки, и создаётся второй лист и после - третий.
Вы зашли первый раз, - создалось первое правило, далее браузер начинает грузить скрипты и картинки, и создаётся второй лист и после - третий.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 6
- Зарегистрирован: 06 фев 2017, 23:10
ок.
т.е. я так понимаю, все эти примеры - фейковые?
а вы не подскажете, как реализовать защиту от перебора пароля, чтобы она работала?
т.е. я так понимаю, все эти примеры - фейковые?
а вы не подскажете, как реализовать защиту от перебора пароля, чтобы она работала?
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
beatlejuse писал(а):ок.
т.е. я так понимаю, все эти примеры - фейковые?
а вы не подскажете, как реализовать защиту от перебора пароля, чтобы она работала?
Код: Выделить всё
/ip firewall filter add chain=input action=drop place-before=0
А если серьезно, то не используйте веб интерфейс для администрирования !
Воспользуйтесь поиском на форуме, это уже обсуждалось: viewtopic.php?f=3&t=7288&p=40582&hilit=blacklist#p40580
Александр
-
- Сообщения: 6
- Зарегистрирован: 06 фев 2017, 23:10
да это всё понятно.
это вообще универсальный ответ - не используйте это.
но иногда нужно использовать именно так((
это вообще универсальный ответ - не используйте это.
но иногда нужно использовать именно так((
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Не использовать www по причине кривизны и ненадёжности это раз.
Использовать хороший пароль и логин отличный от 'admin' это два.
Разрешать доступ ко всем службам управления только изнутри сети это три.
Использовать хороший пароль и логин отличный от 'admin' это два.
Разрешать доступ ко всем службам управления только изнутри сети это три.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 6
- Зарегистрирован: 06 фев 2017, 23:10
algerka писал(а):Воспользуйтесь поиском на форуме, это уже обсуждалось: viewtopic.php?f=3&t=7288&p=40582&hilit=blacklist#p40580
да, там описан тот же метод со списками, только вид сбоку))
нужен какой то способ различать сессии. может connection mark можно использовать? если да, то я не знаю как. пробовал методом тыка - не помогло((
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Вот, посмотрите: https://www.youtube.com/watch?v=jeX1CDj5XZo
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.