Как все подключения заносить в адрес лист?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
q2ker
Сообщения: 20
Зарегистрирован: 11 янв 2016, 17:05

Коллеги, добрый день.

Идея не нова - Я хочу все подключения к определенному порту которое было скажем 20 раз за минуту вносить в адрес лист
Помогите РУССКИМИ языком понять connection limit и limit во вкладке Extra Firewall Rule. Limit как понимаю относится к пакетам, а connection limit к подключениям, но там нет времени, просто число и не ясно про какое кол-во времени идет речь.

Я хочу банально защититься от перебора RDP паролей путем добавления в адрес лист если соединений в минуту было скажем 20. Как это грамотно сделать?


q2ker
Сообщения: 20
Зарегистрирован: 11 янв 2016, 17:05

up


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вам нужен connection limit скорее всего

Код: Выделить всё

connection-limit=20,32
означает, что в правиле обрабатываются на один адрес (32 - это маска) 20 соединений
Параметр limit я сам никогда не использовал. Могу ошибаться. Но вроде как правило срабатывает на превышение обозначенного количества пакетов/бит в единицу времени. Бурст даётся как общее количество разрешённых пакетов/бит , которые пройдут за 10 секунд, потом счетчик бурст сбросится.
Мне кажется для этого параметра нужно очень чётко представлять всю картину движения пакетов, понимать механизм обработки и явно знать результаты работы правила. Это явно не мой уровень :smu:sche_nie:


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
q2ker
Сообщения: 20
Зарегистрирован: 11 янв 2016, 17:05

podarok66 писал(а): 01 авг 2019, 19:20

Код: Выделить всё

connection-limit=20,32
означает, что в правиле обрабатываются на один адрес (32 - это маска) 20 соединений
Это означает что для правила создается всего 20 подключений, больше отклоняются?

А как тогда реализовать мою задумку из 1 поста? Чтобы, например, если 20 подключений в 10 минут с одного IP, он блокировался?


q2ker
Сообщения: 20
Зарегистрирован: 11 янв 2016, 17:05

Вот читаю описание -
Connection Limit - Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32).
Для какого адреса или подсети? Адреса источника\ адреса назначения? :)-(:


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Того адреса, для которого и определяется данное правило. Поставите 20,24 - будет 20 соединений для подсети из 256 адресов. То есть в вашем варианте 20,32 , если никаких других ограничений и уточнений в правиле не задано, то для любого адреса отдельно определяется лимит в 20 соединений.
По вашему посту я предположу, что вы попытки подключения путаете с соединениями.
Поищите в Гугле правила защиты от брутфорса, переделайте под свой вариант. Я, правда, не слишком параноидален и подобным не занимаюсь совсем. Поэтому помощи грамотно оказать не смогу


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
q2ker
Сообщения: 20
Зарегистрирован: 11 янв 2016, 17:05

Я не некрофил, пишу возможно ещё кому-то понадобятся такие вещи:
Нашел интересное решение, на мой взгляд в целом рабочее.

https://www.mihanik.net/mikrotik-zashhi ... brutforsa/

[quote/ip firewall filter
# В цепоче forward

add action=drop chain=forward comment=”Block BruteForcers” in-interface-list=ISP src-address-list=BruteForcers
add action=jump chain=forward comment=”RDP. Go into the chain for detecting Bruteforcers” connection-state=new dst-port=3389 in-interface-list=ISP jump-target=BruteForcersDetect protocol=tcp
# Цепочка BruteForcersDetect

add action=add-src-to-address-list address-list=BruteForcers address-list-timeout=1d chain=BruteForcersDetect comment=”Adding an address to the list of Bruteforcers” log=yes src-address-list=BruteForcers_Step15
add action=add-src-to-address-list address-list=BruteForcers_Step15 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step15 src-address-list=BruteForcers_Step14
add action=add-src-to-address-list address-list=BruteForcers_Step14 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step14 src-address-list=BruteForcers_Step13
add action=add-src-to-address-list address-list=BruteForcers_Step13 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step13 src-address-list=BruteForcers_Step12
add action=add-src-to-address-list address-list=BruteForcers_Step12 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step12 src-address-list=BruteForcers_Step11
add action=add-src-to-address-list address-list=BruteForcers_Step11 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step11 src-address-list=BruteForcers_Step10
add action=add-src-to-address-list address-list=BruteForcers_Step10 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step10 src-address-list=BruteForcers_Step9
add action=add-src-to-address-list address-list=BruteForcers_Step9 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step9 src-address-list=BruteForcers_Step8
add action=add-src-to-address-list address-list=BruteForcers_Step8 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step8 src-address-list=BruteForcers_Step7
add action=add-src-to-address-list address-list=BruteForcers_Step7 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step7 src-address-list=BruteForcers_Step6
add action=add-src-to-address-list address-list=BruteForcers_Step6 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step6 src-address-list=BruteForcers_Step5
add action=add-src-to-address-list address-list=BruteForcers_Step5 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step5 src-address-list=BruteForcers_Step4
add action=add-src-to-address-list address-list=BruteForcers_Step4 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step4 src-address-list=BruteForcers_Step3
add action=add-src-to-address-list address-list=BruteForcers_Step3 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step3 src-address-list=BruteForcers_Step2
add action=add-src-to-address-list address-list=BruteForcers_Step2 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step2 src-address-list=BruteForcers_Step1
add action=add-src-to-address-list address-list=BruteForcers_Step1 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step1
add action=return chain=BruteForcersDetect comment=”End of chain and return.”][/quote]


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

15 шагов!!! Карл, 15 проклятых шагов, то есть 15 вариантов пароля ! Ну зачем? Хорошо, 3 шага, если руки дрожат и вы великий путаник пусть будет 5 шагов. Но зачем 15? Чтобы отличаться от других? Даже я, явный раздолбай и не параноик по жизни не стану настолько широко открывать калитку, для которой сам придумал замочек (пароль). Есть намного боле изящные и наглядно простые решения.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
q2ker
Сообщения: 20
Зарегистрирован: 11 янв 2016, 17:05

Какие например?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да три попытки уже норм. Пять разумный предел. После этого начинается тупой подбор. У вас что, большие проблемы с набором пароля?
Проще уйти на другой порт, чем засорять весь фаервол по столь незначительному поводу. А вы в курсе, что каждое правило - лишняя нагрузка на маршрутизатор?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить