Serafimko писал(а):у меня раньше так и было организованно:
роутер пробрасывал в мир порт для RDP
Теперь стоит роутер микротик который в сеть пробрасывает только порт 1701, а уже после можно по RDP.
Начитался на хабре про то как сервера не крупных фирм брутфорсили по RDP и удаляли 1С и просили денег.
ну а туннель все таки маломальски может защитить.
Это косяк админов, права у пользователей на сервере должны быть минимальными, а пароли длинными.
Да и отсутствие резервных копий это вообще нонсенс.
На сегодня выставлять наружу RDP без vpn я бы не рискнул.
Serafimko писал(а):Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?
Если винда, то можно на AD банить пользователя при неоднократном неудачном вводе пароля.
Если на маршрутизаторе, именно rdp и не удачные авторизации - никак, точнее очень сложно.
Можно, как вариант, блокировать при нескольких попытках установить соединение.
Пример блокировки от перебора портов и подбора логина:
Код: Выделить всё
/ip firewall filter
add action=drop chain=input src-address-list=BruteForce_blacklist
add action=add-src-to-address-list address-list=BruteForce_blacklist address-list-timeout=1w chain=input connection-state=new in-interface=wan src-address-list=BruteForce2
add action=add-src-to-address-list address-list=BruteForce2 address-list-timeout=1m chain=input connection-state=new in-interface=wan src-address-list=BruteForce1
add action=add-src-to-address-list address-list=BruteForce1 address-list-timeout=1m chain=input connection-state=new dst-port=20,21,22,23,80,8291 in-interface=wan protocol=tcp src-address-list=!ManageIP
Работает так: при попытке установить новое соединение на порты 20,21,22,23,80,8291 заносим на 1 минуту в список BruteForce1. Если в течении минуты была вторая попытка уже на любой порт установить соединение, то заносим в список BruteForce2, и если в течении минуты была третья попытка установить соединение то заносим в список BruteForce_blacklist на неделю. И правилом все адреса из этого списка дропаем.
ManageIP список адресов которые не блокируются никогда.
В твоем случае надо input на forward менять и порт 3389.
Легкой правкой можно увеличить кол-во попыток под себя