Слежение за NATированными портами

Обсуждение оборудования и его настройки
Ответить
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Доброго времени суток, Форумчане =)
Задался целью попробовать защитить порт RDP, проброшенный до сервера....
Естественно порт был изменён на нестандартный, но как водится, китайцы\индусы\..... ломятся уже и туда)))))
Что можно сделать? первая мысль отловить фаерволом новые "connection state=new", начинать их считать и на n-ной попытке рубить)))) через firewall filter ловить проброшенные порты не получилось... Видимо фильтры не работают на маршрутизированный трафик. На помощь пришли манглы) (не кидайте камнями, порт 1111 взят для примера)

 под спойлером правила мангла
/ip firewall mangle
add action=add-src-to-address-list address-list=ST7 address-list-timeout=\
1d25s chain=prerouting connection-state=new dst-address-list=external_ip \
dst-port=1111 protocol=tcp src-address-list=ST6
add action=add-src-to-address-list address-list=ST6 address-list-timeout=25s \
chain=prerouting connection-state=new dst-address-list=external_ip \
dst-port=1111 protocol=tcp src-address-list=ST5
add action=add-src-to-address-list address-list=ST5 address-list-timeout=25s \
chain=prerouting connection-state=new dst-address-list=external_ip \
dst-port=1111 protocol=tcp src-address-list=ST4
add action=add-src-to-address-list address-list=ST4 address-list-timeout=25s \
chain=prerouting connection-state=new dst-address-list=external_ip \
dst-port=1111 protocol=tcp src-address-list=ST3
add action=add-src-to-address-list address-list=ST3 address-list-timeout=25s \
chain=prerouting connection-state=new dst-address-list=external_ip \
dst-port=1111 protocol=tcp src-address-list=ST2
add action=add-src-to-address-list address-list=ST2 address-list-timeout=25s \
chain=prerouting connection-state=new dst-address-list=external_ip \
dst-port=1111 protocol=tcp src-address-list=ST1
add action=add-src-to-address-list address-list=ST1 address-list-timeout=25s \
chain=prerouting connection-state=new dst-address-list=external_ip \
dst-port=1111 protocol=tcp


Правила должны находиться именно в том порядке, в каком их добавит этот скрипт. После добавления выделяем их и тащим вверх. Каждый шаг добавляется на 25 секунд, последний шаг на 1 день)) Пока что тестирую эту систему и не добавляю последний шаг в фильтры на дроп.
====
Вопрос...... Это правило, реально будет работать на подбор пароля через ssh, telnet и тд на самом микротике... А вот будет ли оно работать при попытке подбора пароля через проброшенный RDP? или никто не озадачивался и решал проблему штатными серверными средствами?


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Не знаю, что у Вас там не ловит, но у меня замечательно проброшенные порты мониторятся правилами filter.
Вы какое направление указываете при добавлении правила? случаем не input?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Не не не... Естественно форвард... Но никак не реагирует(( Трафик через правило не идёт...
В правилах мангла так же через правило не идёт птрафик, пока не поставишь, пока не поставишь chain=prerouting
Но как видно в правиле под спойлером, манглы у меня ничего не помечают, просто работают аналогично фильтрам...
Вот строка из firewall export:
add chain=forward comment=1 dst-port=7500 protocol=tcp

т.е. даже не указав connection state, фильтр ничего не ловит... фильтр перетянут первым в список..
а через манглы работает))))) но вопрос не в этом..... применяет ли кто такой подход к проброшенным портам и насколько он действенен??


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Ещё заметил одну штуку.... Есть правило в фильтрах ссылается на внешний айпи, то оно не всегда работает.....
А если правило ссылается на интерфейс, то работает... как так?


Ответить