Firewwall - отловить неудачную авторизацию на веб-интерфейсе

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
bolotnikoff
Сообщения: 0
Зарегистрирован: 21 янв 2017, 09:12

Есть сильное желание смотреть кто ходил на вебморду не листая тонны логов, а еще если слишком часто ходит и брутит пароль то дропать... пока мои мысли направлены в Layer7 Protocols толком ничего пока не получилось, да и с девайсами это фирмы знаком не так давно... а может я вообще не с той стороны подхожу к решению задачи, подскажите а...


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

под "кто" что имеется в виду?


Есть интересная задача и бюджет? http://mikrotik.site
DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

vqd писал(а):под "кто" что имеется в виду?

А у меня другой вопрос: под веб-интерфейсом понимается веб-интерфейс Микротика?
Если так, проще всего закрыть его...
Но можно скриптом парсить лог и дальше выполнять любые действия.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

И почему всех так тянет к Layer7 Protocols ? Неужели попроще инструментов не видите? Простой фаервол выполнит эту задачу в лучшем виде. Скажем так, если достал брутфорс по 80 порту, ищем в Гугле по запросу mikrotik brute force protection документацию из Вики и переделываем под себя. Там, если мне память не изменяет, описана ситуация с 22 портом, переделываем под нужный вам и погнали.
А еще можно просто вебморду перевесить на сторонний порт в IP->Services и это еще один заслон получится.
Дерзайте.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
bolotnikoff
Сообщения: 0
Зарегистрирован: 21 янв 2017, 09:12

podarok66 писал(а):И почему всех так тянет к Layer7 Protocols ?
Дерзайте.

Да видал я эти мануалы про 22-й, пробовал даже, после первой же попытки дроп. Видимо от того что они основаны на логике "много новых подключений с одного IP"

Код: Выделить всё

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no


как тут. Я уж не знаю, либо там какой JS допустим AJAX-ом плодит эти "новые подключения" либо все дело в том что для HTTP каждое подключение "новое", либо я очки не протер когда по мануалу все делал, или мануал отстой...
Естественно с 80-го вебморду убрал сразу.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну сам я не пробовал, мне ни к чему. У меня вебинтефейс не используется практически. После того, как я несколько раз попал с косяками этого интерфейса, я отказался от него в пользу winbox или ssh, если winbox не возможен или дел на пару минут...
А что там с портом, отличным от 80?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить