Вопрос имею - каким образом с помощью данных правил выполняется главная задача(судя по названию темы) - защита от брута аккаутнов l2tp сервера?
Код: Выделить всё
add action=accept chain=input comment="Block l2tp brute forcer" dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_success tcp-flags=""
add action=drop chain=input connection-state="" dst-port=1701,500,4500 log=yes log-prefix="--==DROP L2TP brute forcer==--" protocol=udp src-address-list=l2tp_blacklist tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage5 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage5 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage4 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage4 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage3 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage2 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage1 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp tcp-flags=""
add action=accept chain=input comment="Allow L2TP" dst-port=1701,500,4500 protocol=udp
/ppp profile
add change-tcp-mss=yes local-address=10.0.0.1 name=L2TP-Server on-up="/ip firewall address-list add list=l2tp_success address=\$\"caller-id\" timeout=1d" remote-address=l2tp_pool use-encryption=yes use-mpls=yes
у меня вот как то не получилось понять... что должно заставить источник брута(ip адрес) попасть в блеклист?
В блеклист отлично попадает l2tp клиент на айфоне, авторизируясь через 3g(медленное подключение), с правильной парой логин/пароль - вообще без вариантов - блеклист обеспечен. Может прокатить если используется достаточно быстрое подключение к инету, wi fi например, а может и не прокатить - какая либо задержка в аторизации и прохождение всех этапов(l2tp_stage1-5) обеспечена, а дальше - бан. Нормально проходят авторизацию клиенты на винде или том же микротике и то, благодаря высокоскоростному подключению, думаю, что через что то медленное(тот же 3g) можно легко попасть в бан.
Главная задача не выполняется(у меня не получилось) - сколько не стучись с НЕправильной парой логин/пароль - не понимаю, что в данных правилах должно заставить ip источника брута, в итоге, попасть в блеклист?
Прошу старших товарищей разъяснить, как добиться выполнения задачи:
1. нормальная авторизация клиентов даже с использованием медленного подключения
2. занесение в ip источника брута в блеклист
или ткнуть носом в то, чего я, возможно, не вижу(не понимаю)