Russian Users MikroTik | Форум пользователей MikroTik

Приветствую всех!
Скрипт обновлён
Теперь для ускорения работы, при первом запуске скрипт сканирует весь журнал устройства, а при последующих запусках проверяет только непроверенную часть журнала.
Просьба заинтересованным отписать о замеченных проблемах в работе скрипта.
Заранее спасибо.

Kosh писал(а): ↑26 апр 2024, 12:01 Привет, новый скрипт не перестаёт добавлять ip в блеклист в каком-то промышленном масштабе и остановить не могу, уже и удалял и перезагружал устройство, в чём косяк?

Шикарная характеристика работы скрипта!!! Спасибо за комплимент!

Такая ситуация возможна, когда включен контроль Firewall (было установлено значение 'true' для переменной 'firewallUsage'). Нужно выключить расставленные скриптом правила в списках: 'Firewall/Filter Rules', 'Firewall/Raw', 'Firewall/Layer7 Protocols', после чего добавление адресов в черный список прекратится.

Kosh писал(а): ↑26 апр 2024, 15:42 ...
пока воздержусь от обновлений скрипта пожалуй, откатился из резервной копии прошивки.......иначе это звиздец был))

Какая у Вас возникла проблема в работе последней версии скрипта?

Kosh писал(а): ↑27 апр 2024, 08:53 проблема такова, что он добавлял кучу непонятных ip в реальном времени, откуда он их брал не совсем понятно, лист переваливал за 1к+ ip в бане, если я верно понял из описании скрипта, то надо для firewallUsage делать true, если её не делать true, то скрипт не работает

Чёрный список формируется двумя способами:
1. на основе анализа записей журнала устройства
2. при помощи специально настроенных правил Firewall

1й способ срабатывает каждый раз при запуске скрипта.

2й способ нужно активировать вручную путём присвоения переменной 'firewallUsage' значения 'true'.
После активации 2го способа скрипт специальным образом настраивает Firewall по принципу: "запрещено всё, что не разрешено". С этого момента, даже если скрипт не запущен, все попытки из вне прощупать Ваш роутер будут будут считаться несанкционированными. Инициаторы несанкционированных обращений попадают в черный список и блокируются на время, указанное в переменной 'timeoutBL'.
Не стоит пугаться промышленного масштаба количества адресов в чёрном списке - это нынешняя реальность. Оказавшиеся в чёрном списке абоненты попадают в него по своей инициативе. Именно при работе 2го способа в основном происходит пополнение чёрного списка.

На моём домашнем роутере чёрный список содержит от 4 до 16 тысяч (!!!) записей при блокировке на 8 часов, это обычная картина...

Kosh писал(а): ↑27 апр 2024, 13:18

drpioneer писал(а): ↑27 апр 2024, 11:16 Чёрный список формируется двумя способами:
1. на основе анализа записей журнала устройства
2. при помощи специально настроенных правил Firewall

я не улавливаю логики(скорее всего не понимаю), если включить как Вы говорите 2ой способ, то тогда у меня ip просто постоянно добавляются в чёрный список, но при этом эти атаки в логе не отображаются?? потому что- там пусто

Это два разных способа пополнения черного списка. Они никак не связаны, каждый сам по себе.
При активации второго способа в журнале ничего отражаться не будет.

Kosh писал(а): ↑27 апр 2024, 14:05 ... откуда он берёт столько ip при втором варианте, если попытки взлома не отображаются в логах?

откуда он берёт столько ip - со всех этих IP имелись обращения к Вашему оборудованию, расценённые Firewall как несанкционированные.
попытки взлома не отображаются в логах - по умолчанию журнал устройства многое не показывает. Если Вам нужно видеть обращения к Вашему устройству - включите логирование в правилах Firewall.

Здравствуйте.

Fakel писал(а): ↑16 май 2024, 10:42 Есть возможность в скрипте только это оставить блокировку, по pptp, так как у меня в принципе все протоколы почти выключены.

В переменной 'dataBase' содержится база сообщений, по которым скрипт ищет и блокирует ip адреса из журнала устройства. Оставьте в этой переменной строку с сообщением про pptp (250 строку ) и уберите ненужные.

В версии 7.14.3 перестал работать скрипт, ошибок в логах нет.

Приветствую!

torik писал(а): ↑21 май 2024, 16:45 В версии 7.14.3 перестал работать скрипт, ошибок в логах нет.

Не наблюдаю проблем при работе скрипта в ROS 7.14.3.

Kosh писал(а): ↑27 май 2024, 14:47 а каким образом останавливать работу скрипта, если был выбран второй вариант работы?

Формированием чёрного списка с использованием преднастроеных правил Firewall можно отключить путём присвоения переменной 'firewallUsage' значения 'false' с последующим выключением расставленных скриптом правил в списках: 'Firewall/Filter Rules', 'Firewall/Raw', 'Firewall/Layer7 Protocols'.

Здравствуйте. А не будет ли целесообразно блокировать не конкретный Ip, а целую подсеть? Наблюдаю в логах как идут попытки пробиться на впн и при этом у них с одной подсети адрес переключается на 1 и опять попытка...?