запрет брут форса l2tp и список доверенных клиентов

Здесь выкладываем скрипты
Правила форума
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.
ser19861
Сообщения: 2
Зарегистрирован: 21 ноя 2019, 15:42

ребят я новичок,обьясните что за адрес local-address=10.0.0.1 в этом правиле? в ppp profile у меня стоит vpn_pool


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Адрес самого сервера.


Telegram: @thexvo
ser19861
Сообщения: 2
Зарегистрирован: 21 ноя 2019, 15:42

xvo писал(а): 21 ноя 2019, 15:49 Адрес самого сервера.
спасибо,настроил правила все работает


redangel666
Сообщения: 5
Зарегистрирован: 18 июн 2019, 21:20

Axizdkr писал(а): 21 окт 2019, 09:40 Давно dst-limit не пользовался, оказывается он срабатывает пока не достигнут порог, поэтому надо правило с лимитом поставить выше правила которое в список добавляет, как то так получается готовая схема выглядит.

Код: Выделить всё

/ip firewall filter
add chain=input action=drop protocol=udp src-address-list=l2tp_blacklist dst-port=1701,500,4500 log=no log-prefix=""
add action=accept chain=output content="M=bad" dst-limit=1/1m,2,dst-address/8m20s protocol=udp src-port=1701,500,4500
add action=add-dst-to-address-list address-list=l2tp-brutforce address-list-timeout=3d chain=output content="M=bad" protocol=udp src-port=1701,500,4500
из очевидных плюсов - порог срабатывания можно регулировать без добавления новых списков/правил просто меняя значения на вкладке extra правила которое разрешает вводить неверный пароль.
Все вроде бы выглядит красиво, но в реале не работает. На тесте проверено -подключаюсь с неверным пользователем или паролем. Неверный пароль отлавливается вторым правилом, но легко проходит через первое(drop). Не доходит до 3го,
Перенос drop в RAW не решает проблему.
Варианты в шагами Stage по добавлению в блэклисты тоже не отрабатывают, соединение устанавливается в L2TP одно.


Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

Axizdkr писал(а): 21 окт 2019, 09:17 Зачем городить 3 списка, 3 правила, если можно сделать 1 вместо них, указав там рейт-лимит?
По сути получается 3 попытки в минуту.
это одним правилом делается

Код: Выделить всё

chain=output action=add-dst-to-address-list dst-limit=3/1m,3,src-address/300 address-list=l2tp_blacklist address-list-timeout=3d content="M=bad" log=no log-prefix=""
это 3 пакета в минуту, бёрст 3, смотреть по сорс адресу, за последние 5 минут(300 секунд).
Не хочу критиковать, просто действительно интересно зачем списки городить когда уже есть механизм готовый, он плохо работает?
Не могу понять в упор логику этого механизма

Код: Выделить всё

chain=input action=accept connection-state=new protocol=tcp    in-interface-list=WAN dst-port=8291,22 dst-limit=2/1m,2,src-address/5m    log=no log-prefix="" 
При таком вот правиле - какого-то черта он не срабатывает на третью попытку уже секунд через 5. Хотя, как ожидалось, счетчик должен быть актуален в течении минуты. Перепробовал разные вариации, добился того, чтобы оно работало так, как мне надо, но для этого приходится использовать абсолютно неинтуитивные параметры типа expire=733 и так далее. У меня знатно подгорает от этого. Я хочу, чтобы оно работало в соответствии с моими пожеланиями, я не подгадывать параметры. Кто-нибудь понимает, как оно работает? В доке все тоже описано через задницу, честно говоря..


Axizdkr
Сообщения: 14
Зарегистрирован: 31 янв 2013, 15:27

kreiz писал(а): 13 ноя 2020, 04:16 Не могу понять в упор логику этого механизма

Код: Выделить всё

chain=input action=accept connection-state=new protocol=tcp    in-interface-list=WAN dst-port=8291,22 dst-limit=2/1m,2,src-address/5m    log=no log-prefix="" 
При таком вот правиле - какого-то черта он не срабатывает на третью попытку уже секунд через 5. Хотя, как ожидалось, счетчик должен быть актуален в течении минуты. Перепробовал разные вариации, добился того, чтобы оно работало так, как мне надо, но для этого приходится использовать абсолютно неинтуитивные параметры типа expire=733 и так далее. У меня знатно подгорает от этого. Я хочу, чтобы оно работало в соответствии с моими пожеланиями, я не подгадывать параметры. Кто-нибудь понимает, как оно работает? В доке все тоже описано через задницу, честно говоря..
Скорее всего вводит в заблуждение burst, он даёт + к рейт лимиту. Вообще рейт лимиты они работают не так как хотелось бы.
https://habr.com/ru/company/southbridge/blog/329876/ - тут есть описание как работает рейт лимит на nginx, насколько я понимаю на микротике схема похожая. Без бёрста лажа будет, потому что может уже на 2й попытке заблочить.


Ответить