Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте, есть такое решение. Все работает на ура. (Аналог fail2ban)

ip firewall filter

add chain=forward protocol=tcp dst-port=1080 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

Вопрос: как сделать, так, чтобы конкретные IP Не попадали в blacklist
Подключения в основном динамические, но есть и статика.
В идеале мне нужен whitelist. Но как это сделать правильно?

Код: Выделить всё

ip firewall filter

add chain=forward protocol=tcp dst-port=1080 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=1080 connection-state=new src-address-list=!white_address action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

А уж в лист white_address занесите свои адреса...

Спасибо большое! Всё работает.

А никто не сравнивал затратность по ресурсам?
Вариант с пробросом наружу RDP и набором защитных правил, и вариант RDP через VPN.

Сколько нужно одновременных соединений, чтобы первый вариант стал ощутимо выгоднее?

Здравствуйте, очень понравилась Ваша идея, но хоть убей- не работает белый лист , где то косячу
С учетом , того , что я полный нуб в микротах, опишу свои действия пошагово

0)обновился до 6.46.4
1) накатил стандартную конфигурацию
2) настроил тырнет через квик сет
3) добавил этот скрипт через терминал

ip firewall filter

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=!white_address action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

в итоге получилось

затем вошел во вкладку Adress Lists и создал там следующие листы (!white_address , rdp_stage1, rdp_stage2, rdp_stage3, rdp_blacklist)

Затем добавил в !white_address ip с которого все тестировал

но на четвертой попытке неправильного ввода он банит этот айпи несмотря на его присутствие в этом списке.

Подскажите плиз, в чем может быть проблема

halfsky писал(а): ↑27 мар 2020, 12:55 Здравствуйте, очень понравилась Ваша идея, но хоть убей- не работает белый лист , где то косячу
С учетом , того , что я полный нуб в микротах, опишу свои действия пошагово

0)обновился до 6.46.4
1) накатил стандартную конфигурацию
2) настроил тырнет через квик сет
3) добавил этот скрипт через терминал

ip firewall filter

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=!white_address action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

в итоге получилось

затем вошел во вкладку Adress Lists и создал там следующие листы (!white_address , rdp_stage1, rdp_stage2, rdp_stage3, rdp_blacklist)

Затем добавил в !white_address ip с которого все тестировал

но на четвертой попытке неправильного ввода он банит этот айпи несмотря на его присутствие в этом списке.

Подскажите плиз, в чем может быть проблема

Может из-за адреса по умолчанию 0.0.0.0
Попробуй другой адрес.
Скрипт работает 100% на 4 микротах.

halfsky писал(а): ↑27 мар 2020, 12:55 затем вошел во вкладку Adress Lists и создал там следующие листы (!white_address ,

название address-list без "!"

Russian Users MikroTik | Форум пользователей MikroTik

Создание правильного Белого листа для RDP. Аналог fail2ban.

Создание правильного Белого листа для RDP. Аналог fail2ban.

Re: Создание правильного Белого листа для RDP. Аналог fail2ban.

Re: Создание правильного Белого листа для RDP. Аналог fail2ban.

Re: Создание правильного Белого листа для RDP. Аналог fail2ban.

halfsky

Re: halfsky

Re: halfsky