Russian Users MikroTik | Форум пользователей MikroTik

Коллеги, добрый день.

Идея не нова - Я хочу все подключения к определенному порту которое было скажем 20 раз за минуту вносить в адрес лист
Помогите РУССКИМИ языком понять connection limit и limit во вкладке Extra Firewall Rule. Limit как понимаю относится к пакетам, а connection limit к подключениям, но там нет времени, просто число и не ясно про какое кол-во времени идет речь.

Я хочу банально защититься от перебора RDP паролей путем добавления в адрес лист если соединений в минуту было скажем 20. Как это грамотно сделать?

up

Вам нужен connection limit скорее всего означает, что в правиле обрабатываются на один адрес (32 - это маска) 20 соединений
Параметр limit я сам никогда не использовал. Могу ошибаться. Но вроде как правило срабатывает на превышение обозначенного количества пакетов/бит в единицу времени. Бурст даётся как общее количество разрешённых пакетов/бит , которые пройдут за 10 секунд, потом счетчик бурст сбросится.
Мне кажется для этого параметра нужно очень чётко представлять всю картину движения пакетов, понимать механизм обработки и явно знать результаты работы правила. Это явно не мой уровень

podarok66 писал(а): ↑01 авг 2019, 19:20

Код: Выделить всё

connection-limit=20,32

означает, что в правиле обрабатываются на один адрес (32 - это маска) 20 соединений

Это означает что для правила создается всего 20 подключений, больше отклоняются?

А как тогда реализовать мою задумку из 1 поста? Чтобы, например, если 20 подключений в 10 минут с одного IP, он блокировался?

Вот читаю описание -
Connection Limit - Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32).
Для какого адреса или подсети? Адреса источника\ адреса назначения?

Того адреса, для которого и определяется данное правило. Поставите 20,24 - будет 20 соединений для подсети из 256 адресов. То есть в вашем варианте 20,32 , если никаких других ограничений и уточнений в правиле не задано, то для любого адреса отдельно определяется лимит в 20 соединений.
По вашему посту я предположу, что вы попытки подключения путаете с соединениями.
Поищите в Гугле правила защиты от брутфорса, переделайте под свой вариант. Я, правда, не слишком параноидален и подобным не занимаюсь совсем. Поэтому помощи грамотно оказать не смогу

Я не некрофил, пишу возможно ещё кому-то понадобятся такие вещи:
Нашел интересное решение, на мой взгляд в целом рабочее.

https://www.mihanik.net/mikrotik-zashhi ... brutforsa/

[quote/ip firewall filter
# В цепоче forward

add action=drop chain=forward comment=”Block BruteForcers” in-interface-list=ISP src-address-list=BruteForcers
add action=jump chain=forward comment=”RDP. Go into the chain for detecting Bruteforcers” connection-state=new dst-port=3389 in-interface-list=ISP jump-target=BruteForcersDetect protocol=tcp
# Цепочка BruteForcersDetect

add action=add-src-to-address-list address-list=BruteForcers address-list-timeout=1d chain=BruteForcersDetect comment=”Adding an address to the list of Bruteforcers” log=yes src-address-list=BruteForcers_Step15
add action=add-src-to-address-list address-list=BruteForcers_Step15 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step15 src-address-list=BruteForcers_Step14
add action=add-src-to-address-list address-list=BruteForcers_Step14 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step14 src-address-list=BruteForcers_Step13
add action=add-src-to-address-list address-list=BruteForcers_Step13 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step13 src-address-list=BruteForcers_Step12
add action=add-src-to-address-list address-list=BruteForcers_Step12 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step12 src-address-list=BruteForcers_Step11
add action=add-src-to-address-list address-list=BruteForcers_Step11 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step11 src-address-list=BruteForcers_Step10
add action=add-src-to-address-list address-list=BruteForcers_Step10 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step10 src-address-list=BruteForcers_Step9
add action=add-src-to-address-list address-list=BruteForcers_Step9 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step9 src-address-list=BruteForcers_Step8
add action=add-src-to-address-list address-list=BruteForcers_Step8 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step8 src-address-list=BruteForcers_Step7
add action=add-src-to-address-list address-list=BruteForcers_Step7 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step7 src-address-list=BruteForcers_Step6
add action=add-src-to-address-list address-list=BruteForcers_Step6 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step6 src-address-list=BruteForcers_Step5
add action=add-src-to-address-list address-list=BruteForcers_Step5 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step5 src-address-list=BruteForcers_Step4
add action=add-src-to-address-list address-list=BruteForcers_Step4 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step4 src-address-list=BruteForcers_Step3
add action=add-src-to-address-list address-list=BruteForcers_Step3 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step3 src-address-list=BruteForcers_Step2
add action=add-src-to-address-list address-list=BruteForcers_Step2 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step2 src-address-list=BruteForcers_Step1
add action=add-src-to-address-list address-list=BruteForcers_Step1 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step1
add action=return chain=BruteForcersDetect comment=”End of chain and return.”][/quote]

15 шагов!!! Карл, 15 проклятых шагов, то есть 15 вариантов пароля ! Ну зачем? Хорошо, 3 шага, если руки дрожат и вы великий путаник пусть будет 5 шагов. Но зачем 15? Чтобы отличаться от других? Даже я, явный раздолбай и не параноик по жизни не стану настолько широко открывать калитку, для которой сам придумал замочек (пароль). Есть намного боле изящные и наглядно простые решения.

Какие например?

Да три попытки уже норм. Пять разумный предел. После этого начинается тупой подбор. У вас что, большие проблемы с набором пароля?
Проще уйти на другой порт, чем засорять весь фаервол по столь незначительному поводу. А вы в курсе, что каждое правило - лишняя нагрузка на маршрутизатор?