Re: запрет брут форса l2tp и список доверенных клиентов
Добавлено: 21 ноя 2019, 15:44
ребят я новичок,обьясните что за адрес local-address=10.0.0.1 в этом правиле? в ppp profile у меня стоит vpn_pool
Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/
Все вроде бы выглядит красиво, но в реале не работает. На тесте проверено -подключаюсь с неверным пользователем или паролем. Неверный пароль отлавливается вторым правилом, но легко проходит через первое(drop). Не доходит до 3го,Axizdkr писал(а): ↑21 окт 2019, 09:40 Давно dst-limit не пользовался, оказывается он срабатывает пока не достигнут порог, поэтому надо правило с лимитом поставить выше правила которое в список добавляет, как то так получается готовая схема выглядит.из очевидных плюсов - порог срабатывания можно регулировать без добавления новых списков/правил просто меняя значения на вкладке extra правила которое разрешает вводить неверный пароль.Код: Выделить всё
/ip firewall filter add chain=input action=drop protocol=udp src-address-list=l2tp_blacklist dst-port=1701,500,4500 log=no log-prefix="" add action=accept chain=output content="M=bad" dst-limit=1/1m,2,dst-address/8m20s protocol=udp src-port=1701,500,4500 add action=add-dst-to-address-list address-list=l2tp-brutforce address-list-timeout=3d chain=output content="M=bad" protocol=udp src-port=1701,500,4500
Не могу понять в упор логику этого механизмаAxizdkr писал(а): ↑21 окт 2019, 09:17 Зачем городить 3 списка, 3 правила, если можно сделать 1 вместо них, указав там рейт-лимит?
По сути получается 3 попытки в минуту.
это одним правилом делаетсяэто 3 пакета в минуту, бёрст 3, смотреть по сорс адресу, за последние 5 минут(300 секунд).Код: Выделить всё
chain=output action=add-dst-to-address-list dst-limit=3/1m,3,src-address/300 address-list=l2tp_blacklist address-list-timeout=3d content="M=bad" log=no log-prefix=""
Не хочу критиковать, просто действительно интересно зачем списки городить когда уже есть механизм готовый, он плохо работает?
Код: Выделить всё
chain=input action=accept connection-state=new protocol=tcp in-interface-list=WAN dst-port=8291,22 dst-limit=2/1m,2,src-address/5m log=no log-prefix=""
Скорее всего вводит в заблуждение burst, он даёт + к рейт лимиту. Вообще рейт лимиты они работают не так как хотелось бы.kreiz писал(а): ↑13 ноя 2020, 04:16 Не могу понять в упор логику этого механизмаПри таком вот правиле - какого-то черта он не срабатывает на третью попытку уже секунд через 5. Хотя, как ожидалось, счетчик должен быть актуален в течении минуты. Перепробовал разные вариации, добился того, чтобы оно работало так, как мне надо, но для этого приходится использовать абсолютно неинтуитивные параметры типа expire=733 и так далее. У меня знатно подгорает от этого. Я хочу, чтобы оно работало в соответствии с моими пожеланиями, я не подгадывать параметры. Кто-нибудь понимает, как оно работает? В доке все тоже описано через задницу, честно говоря..Код: Выделить всё
chain=input action=accept connection-state=new protocol=tcp in-interface-list=WAN dst-port=8291,22 dst-limit=2/1m,2,src-address/5m log=no log-prefix=""