запрет брут форса l2tp и список доверенных клиентов
Добавлено: 28 окт 2017, 14:39
Всем доброго времени суток Захотелось мне ограничить подключения к моему l2tp. Собственно гугление и RTFM помогли найти часть нужной информации, а именно о том как организовать защиту от кулхацкеров. В моем случае выглядит это так:
Есть 5 попыток подключения в течении 1 минуты, после чего ip заносится в blacklist. Вроде бы все ок на первый взгляд, НО потестировав обнаружил странную вещь. Если подключиться с Iphone и тут же отключиться, происходит более 5 запросов и выдается бан. Пытался сделать что-то типа white списка, чтобы успешно подключенные клиенты туда заносились на сутки и могли спокойно отключаться и подключаться сколько угодно раз в минуту (айпишники динамические, заранее не известны). Но ничего дельного не получилось, пытался плясать от "connection state: established и related", но не получается отсеять именно успешно авторизованных клиентов l2tp с ipsec. Может есть у кого-то какие-то идеи по данному вопросу?
Код: Выделить всё
/ip firewall filter
add action=drop chain=input comment="Block l2tp brute forcer" connection-state="" dst-port=1701,500,4500 log=yes log-prefix="--==DROP L2TP brute forcer==--" protocol=udp src-address-list=l2tp_blacklist tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_blacklist address-list-timeout=3d chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage5 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage5 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage4 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage4 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage3 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage2 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp src-address-list=l2tp_stage1 tcp-flags=""
add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1701,500,4500 protocol=udp tcp-flags=""
add action=accept chain=input comment="Allow L2TP" dst-port=1701,500,4500 protocol=udp
Есть 5 попыток подключения в течении 1 минуты, после чего ip заносится в blacklist. Вроде бы все ок на первый взгляд, НО потестировав обнаружил странную вещь. Если подключиться с Iphone и тут же отключиться, происходит более 5 запросов и выдается бан. Пытался сделать что-то типа white списка, чтобы успешно подключенные клиенты туда заносились на сутки и могли спокойно отключаться и подключаться сколько угодно раз в минуту (айпишники динамические, заранее не известны). Но ничего дельного не получилось, пытался плясать от "connection state: established и related", но не получается отсеять именно успешно авторизованных клиентов l2tp с ipsec. Может есть у кого-то какие-то идеи по данному вопросу?