Ограничение скорости только wifi клиентам

Обсуждение оборудования и его настройки
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Обычно она выбирается автоматически, но вы можете этот процесс контролировать и делать так, как вам удобно.


А проще все это никак организовать нельзя?? RDP???


Serafimko
Сообщения: 28
Зарегистрирован: 09 янв 2017, 11:39

gmx писал(а):Обычно она выбирается автоматически, но вы можете этот процесс контролировать и делать так, как вам удобно.


А проще все это никак организовать нельзя?? RDP???

у меня раньше так и было организованно:
роутер пробрасывал в мир порт для RDP
Теперь стоит роутер микротик который в сеть пробрасывает только порт 1701, а уже после можно по RDP.
Начитался на хабре про то как сервера не крупных фирм брутфорсили по RDP и удаляли 1С и просили денег.
ну а туннель все таки маломальски может защитить.
Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?

теперь другая напасть у 192.168.1.0 маршрута метрика больше чем у 0.0.0.0 и компьютер на адрес 192.168.1.0 пытается пройти по 0.0.0.0 ну и сети не видно. командой metrica можно прописать не ниже чем у основного шлюза.
На тестовом компьютере 0.0.0.0 metrica равна 27
командой change можно поднять метрику вроде как, но не работает на 0.0.0.0
192.168.2.0 подсеть для l2tp клиентов

Код: Выделить всё

C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 22...........................VPN
 12...e0 91 53 3d 6e 10 ......Atheros AR9285 Wireless Network Adapter
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.103    27
      89.11.176.7  255.255.255.255      192.168.0.1    192.168.0.103    28
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.103    283
    192.168.0.103  255.255.255.255         On-link     192.168.0.103    283
    192.168.0.255  255.255.255.255         On-link     192.168.0.103    283
      192.168.1.0    255.255.255.0      192.168.1.1    192.168.0.103     28
      192.168.1.0    255.255.255.0      192.168.2.1     192.168.2.20     21
      192.168.2.0    255.255.255.0      192.168.2.1     192.168.2.20     21
     192.168.2.20  255.255.255.255         On-link      192.168.2.20    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.103    283
        224.0.0.0        240.0.0.0         On-link      192.168.2.20    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.103    283
  255.255.255.255  255.255.255.255         On-link      192.168.2.20    276
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 12    281 fe80::/64                On-link
 12    281 fe80::4d69:3336:f8cd:1854/128
                                    On-link
  1    306 ff00::/8                 On-link
 12    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Банить не знаю, это только скриптами. Я не сильно в них большой спец. Тут у нас есть люди, которые на этом собаку съели.

А по поводу метрики: первое что приходит в голову - у VPN подключения нужно снять галочку "Шлюз по-умолчанию".


По поводу 1с и безопасности. На мой взгляд, если стоит свежая Windows Server (2008, 2012) ну или Linux Server, если все своевременно обновляется, если пользователям RDP давать минимальные права, а базы 1с периодически архивировать (архивацию-то никто не отменял), то взломать будет сильно проблематично. Точнее у заказчика взлома должно быть много денег...


Serafimko
Сообщения: 28
Зарегистрирован: 09 янв 2017, 11:39

gmx писал(а):Банить не знаю, это только скриптами. Я не сильно в них большой спец. Тут у нас есть люди, которые на этом собаку съели.

А по поводу метрики: первое что приходит в голову - у VPN подключения нужно снять галочку "Шлюз по-умолчанию".


По поводу 1с и безопасности. На мой взгляд, если стоит свежая Windows Server (2008, 2012) ну или Linux Server, если все своевременно обновляется, если пользователям RDP давать минимальные права, а базы 1с периодически архивировать (архивацию-то никто не отменял), то взломать будет сильно проблематично. Точнее у заказчика взлома должно быть много денег...

в том то и дело что мой основной шлюз имеет больший приоритет над маршрутом 192.168.1.0 через 192.168.1.1, и трафик пытается пройти через 0.0.0.0 и мой шлюз 192.168.0.1
Вопрос в том как приоритет маршрута 192.168.1.0 через 192.168.1.1 сделать привлекательнее для трафика


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

gmx писал(а):А проще все это никак организовать нельзя?? RDP???

ИМХО, конечно, но сам давно стал закрывать RDP, так спокойнее ;) RDP торчит наружу только там, где ещё нет Микротика.

Serafimko писал(а):

Код: Выделить всё

C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 22...........................VPN
 12...e0 91 53 3d 6e 10 ......Atheros AR9285 Wireless Network Adapter
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.103    27
      89.11.176.7  255.255.255.255      192.168.0.1    192.168.0.103    28
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.103    283
    192.168.0.103  255.255.255.255         On-link     192.168.0.103    283
    192.168.0.255  255.255.255.255         On-link     192.168.0.103    283
      192.168.1.0    255.255.255.0      192.168.1.1    192.168.0.103     28
      192.168.1.0    255.255.255.0      192.168.2.1     192.168.2.20     21
      192.168.2.0    255.255.255.0      192.168.2.1     192.168.2.20     21
     192.168.2.20  255.255.255.255         On-link      192.168.2.20    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.103    283
        224.0.0.0        240.0.0.0         On-link      192.168.2.20    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.103    283
  255.255.255.255  255.255.255.255         On-link      192.168.2.20    276
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 12    281 fe80::/64                On-link
 12    281 fe80::4d69:3336:f8cd:1854/128
                                    On-link
  1    306 ff00::/8                 On-link
 12    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Тут какая-то путаница. Зачем в 192.168.1.0 два маршрута, через 192.168.1.1 и 192.168.2.1?
Адрес 192.168.2.20 присвоен интерфейсу VPN, верно? Тогда "192.168.1.0 255.255.255.0 192.168.1.1" не нужен.
Покажите, на всякий случай, вывод ipconfig /all с того же хоста.

Кроме того, метрика в данном случае не так важна. При выборе дальнейшего маршрута сначала учитывается адрес назначения, а уже потом метрика.
К примеру, при наличии маршрутов "192.168.0.0 255.255.128.0 10.10.1.1 metric 5" и "192.168.0.0 255.255.255.0 10.10.2.2 metric 10" пакеты, предназначенные адресу 192.168.0.10, пойдут по второму, т.к. подсеть в маршруте более узкая.

Serafimko писал(а):Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?

Если речь про RDP - где-то встречал, жаль, не смог обратить внимание получше.
Для начала можно ужесточить политику паролей - минимальная длина, сложность, количество ошибок ввода. Заблокируется не IP, а учётка на сервере ;)


Serafimko
Сообщения: 28
Зарегистрирован: 09 янв 2017, 11:39

Спасибо всем помогающим!
Я забыл в своих экспериментах удалять лишнее.
Оказалось все просто вот этот маршрут правильный 192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.20 21
tarcert показывает путь до 192.168.1.1 через 192.168.2.1
а из-за того что у меня весел этот маршрут ничего не работало 192.168.1.0 255.255.255.0 192.168.1.1 192.168.0.103 28

я накидал скриптик как мне подсказал gmx

rasdial.exe connection_name username password
route add 192.168.1.0 MASK 255.255.255.0 192.168.2.1
net use p: \\192.168.1.2\public

и вот команда net use не присоединяет сетевой диск

p.s. Ярлык этой же папки работает.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Serafimko писал(а):у меня раньше так и было организованно:
роутер пробрасывал в мир порт для RDP
Теперь стоит роутер микротик который в сеть пробрасывает только порт 1701, а уже после можно по RDP.
Начитался на хабре про то как сервера не крупных фирм брутфорсили по RDP и удаляли 1С и просили денег.
ну а туннель все таки маломальски может защитить.

Это косяк админов, права у пользователей на сервере должны быть минимальными, а пароли длинными.
Да и отсутствие резервных копий это вообще нонсенс.
На сегодня выставлять наружу RDP без vpn я бы не рискнул.


Serafimko писал(а):Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?

Если винда, то можно на AD банить пользователя при неоднократном неудачном вводе пароля.
Если на маршрутизаторе, именно rdp и не удачные авторизации - никак, точнее очень сложно.
Можно, как вариант, блокировать при нескольких попытках установить соединение.
Пример блокировки от перебора портов и подбора логина:

Код: Выделить всё

/ip firewall filter
add action=drop chain=input src-address-list=BruteForce_blacklist
add action=add-src-to-address-list address-list=BruteForce_blacklist address-list-timeout=1w chain=input connection-state=new in-interface=wan src-address-list=BruteForce2
add action=add-src-to-address-list address-list=BruteForce2 address-list-timeout=1m chain=input connection-state=new in-interface=wan src-address-list=BruteForce1
add action=add-src-to-address-list address-list=BruteForce1 address-list-timeout=1m chain=input connection-state=new dst-port=20,21,22,23,80,8291 in-interface=wan protocol=tcp src-address-list=!ManageIP


Работает так: при попытке установить новое соединение на порты 20,21,22,23,80,8291 заносим на 1 минуту в список BruteForce1. Если в течении минуты была вторая попытка уже на любой порт установить соединение, то заносим в список BruteForce2, и если в течении минуты была третья попытка установить соединение то заносим в список BruteForce_blacklist на неделю. И правилом все адреса из этого списка дропаем.
ManageIP список адресов которые не блокируются никогда.

В твоем случае надо input на forward менять и порт 3389.
Легкой правкой можно увеличить кол-во попыток под себя


Александр
Serafimko
Сообщения: 28
Зарегистрирован: 09 янв 2017, 11:39

algerka писал(а):
Serafimko писал(а):у меня раньше так и было организованно:
роутер пробрасывал в мир порт для RDP
Теперь стоит роутер микротик который в сеть пробрасывает только порт 1701, а уже после можно по RDP.
Начитался на хабре про то как сервера не крупных фирм брутфорсили по RDP и удаляли 1С и просили денег.
ну а туннель все таки маломальски может защитить.

Это косяк админов, права у пользователей на сервере должны быть минимальными, а пароли длинными.
Да и отсутствие резервных копий это вообще нонсенс.
На сегодня выставлять наружу RDP без vpn я бы не рискнул.


Serafimko писал(а):Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?

Если винда, то можно на AD банить пользователя при неоднократном неудачном вводе пароля.
Если на маршрутизаторе, именно rdp и не удачные авторизации - никак, точнее очень сложно.
Можно, как вариант, блокировать при нескольких попытках установить соединение.
Пример блокировки от перебора портов и подбора логина:

Код: Выделить всё

/ip firewall filter
add action=drop chain=input src-address-list=BruteForce_blacklist
add action=add-src-to-address-list address-list=BruteForce_blacklist address-list-timeout=1w chain=input connection-state=new in-interface=wan src-address-list=BruteForce2
add action=add-src-to-address-list address-list=BruteForce2 address-list-timeout=1m chain=input connection-state=new in-interface=wan src-address-list=BruteForce1
add action=add-src-to-address-list address-list=BruteForce1 address-list-timeout=1m chain=input connection-state=new dst-port=20,21,22,23,80,8291 in-interface=wan protocol=tcp src-address-list=!ManageIP


Работает так: при попытке установить новое соединение на порты 20,21,22,23,80,8291 заносим на 1 минуту в список BruteForce1. Если в течении минуты была вторая попытка уже на любой порт установить соединение, то заносим в список BruteForce2, и если в течении минуты была третья попытка установить соединение то заносим в список BruteForce_blacklist на неделю. И правилом все адреса из этого списка дропаем.
ManageIP список адресов которые не блокируются никогда.

В твоем случае надо input на forward менять и порт 3389.
Легкой правкой можно увеличить кол-во попыток под себя


Спасибо большое!

Я настроил Тунель и это единственный порт который висит наружу вот к нему ваш скрипт и прикручу на 3 попытки )


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Serafimko писал(а):Я настроил Тунель и это единственный порт который висит наружу вот к нему ваш скрипт и прикручу на 3 попытки )

Можно пойти ещё дальше - открывать порт 1701 только после простукивания (метод называется Port Knocking). L2TP тоже брутфорсят...


Serafimko
Сообщения: 28
Зарегистрирован: 09 янв 2017, 11:39

DmNuts писал(а):
Serafimko писал(а):Я настроил Тунель и это единственный порт который висит наружу вот к нему ваш скрипт и прикручу на 3 попытки )

Можно пойти ещё дальше - открывать порт 1701 только после простукивания (метод называется Port Knocking). L2TP тоже брутфорсят...

ну с использованием выше написанного скрипта шанс будет стремится к нулю
тем более что у нас настроен L2TP\Ipsec а это значит один постоянный ключ + логин L2TP и пароль к ней


Ответить