Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте. Возникла необходимость защитить порт от брутфорса. На входе стоит роутер (происхождение меняется от точки к точке, к счастью заменил бы, но некоторые заведены по оптике), он раздает интернет и прокинут на него порт RDP. В логах Windows постоянно горит аудит отказа, пытаются взломать учетку. Решил защитить порт путем создания правила.

Код: Выделить всё

 
 /ip firewall filter

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 in-interface=Internet action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 in-interface=Internet action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 in-interface=Internet action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

На домашнем микроте попробовал, все хорошо, после нескольких попыток входа ip адрес улетает в бан. Попытался сделать такую схему.
Роутер на входе -----> Микротик и там создано такое же правило на входящий интерфейс, но оно не отрабатывает.
Микротик после роутера настроен по быстрой настройке, в режиме CAP. Прошу помощи, как завести правило?
На форуме ничего подобного не нашел, если есть, буду рад ссылке.
Заранее спасибо

Если у вас Микротик в режиме CAP, то значит где-то должен работать и CAPsMAN для него - на нем и фильтруйте.

xvo писал(а): ↑01 ноя 2019, 09:45 Если у вас Микротик в режиме CAP, то значит где-то должен работать и CAPsMAN для него - на нем и фильтруйте.

Так, а если я настрою его в режиме Home AP, то я смогу с него фильтровать? На входе стоят HUAWEI HG8245, только после него стоит mikrotik с настройкой CAP.

Dunlop писал(а): ↑01 ноя 2019, 09:08 На входе стоит роутер (происхождение меняется от точки к точке, к счастью заменил бы, но некоторые заведены по оптике), он раздает интернет и прокинут на него порт RDP.

Dunlop писал(а): ↑01 ноя 2019, 09:08 Роутер на входе -----> Микротик и там создано такое же правило на входящий интерфейс, но оно не отрабатывает.
Микротик после роутера настроен по быстрой настройке, в режиме CAP.

Dunlop писал(а): ↑02 ноя 2019, 21:00 На входе стоят HUAWEI HG8245, только после него стоит mikrotik с настройкой CAP.

Рисуйте схему что-то сильно путано объясняете.
врага нужно ловить на входе

Dunlop писал(а): ↑02 ноя 2019, 21:00 Так, а если я настрою его в режиме Home AP, то я смогу с него фильтровать? На входе стоят HUAWEI HG8245, только после него стоит mikrotik с настройкой CAP.

CAP - это режим, когда точкой управляет контроллер.
Как я понимаю никакого контроллера у вас нет, и вам этот режим вообще не нужен.

Если вы не хотите (или не можете) ничего фильтровать на хуавеях, которые стоят на входе, тогда переводите их в режим моста, и пусть у вас тогда микротик работает маршрутизатором в режиме home AP.

xvo писал(а): ↑02 ноя 2019, 22:48
Dunlop писал(а): ↑02 ноя 2019, 21:00 Так, а если я настрою его в режиме Home AP, то я смогу с него фильтровать? На входе стоят HUAWEI HG8245, только после него стоит mikrotik с настройкой CAP.
CAP - это режим, когда точкой управляет контроллер.
Как я понимаю никакого контроллера у вас нет, и вам этот режим вообще не нужен.

Если вы не хотите (или не можете) ничего фильтровать на хуавеях, которые стоят на входе, тогда переводите их в режим моста, и пусть у вас тогда микротик работает маршрутизатором в режиме home AP.

А если не переводить HUAWEI в мост, то как тогда правильно настроить Mikrotik?

Его тоже нужно настроить роутером и на нем тоже сделать проброс порта.
Нарисуйте схему без нее качественных советов не получите.
Сегодня выходной и бубном пользоваться не хочется что бы гадать как оно там у Вас.
При заводской преднастройке САР устройство превращается в обычный свич с WiFi. А если нет менеджера то wifi не работает.

PS можно конечно пытаться фильтровать и на бридже, но "не красиво" это

Ca6ko писал(а): ↑03 ноя 2019, 13:37 Его тоже нужно настроить роутером и на нем тоже сделать проброс порта.
Нарисуйте схему без нее качественных советов не получите.
Сегодня выходной и бубном пользоваться не хочется что бы гадать как оно там у Вас.
При заводской преднастройке САР устройство превращается в обычный свич с WiFi. А если нет менеджера то wifi не работает.

PS можно конечно пытаться фильтровать и на бридже, но "не красиво" это

Насколько я понял, ТС пользуется Quick Set. Я думаю, что вам придётся как минимум показать конфигурацию роутера. И не факт, что это поможет. Ну не пользуются Quick Set местные. Поэтому и не знают, что там меняется в настройках при установке той или иной галочки.

podarok66 писал(а): ↑03 ноя 2019, 13:51 Насколько я понял, ТС пользуется Quick Set. Я думаю, что вам придётся как минимум показать конфигурацию роутера. И не факт, что это поможет. Ну не пользуются Quick Set местные. Поэтому и не знают, что там меняется в настройках при установке той или иной галочки.

На HUAWEI был включен проброс порта до конечного компьютера. Я пытаюсь настроить правила firewall'а на проброс порта до конечного комьютера + остеивание ip адресов, которые пытались ввести пароль более 5 раз. Но счетчики показывают 0. И тут возник вопрос, а если отключить проброс порта на HUAWEI, то будет ли работать правило? Сейчас под рукой свободного микротика нет. Попробовать не могу, вопрос из теоретической части.
Если есть возможность, прошу подсказать полный алгоритм, чтобы настройки фильтрации были на Микротике.

Russian Users MikroTik | Форум пользователей MikroTik

Защита порта

Защита порта

Re: Защита порта

Re: Защита порта

Re: Защита порта

Re: Защита порта

Re: Защита порта

Re: Защита порта

Re: Защита порта

Re: Защита порта

Re: Защита порта