Ακολουθείς το (1).
Για το dst-limit δες εδώ.
Εμφάνιση 151-165 από 2112
-
21-03-16, 22:37 Απάντηση: Mikrotik IPv4/IPv6 firewall #151
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
22-03-16, 00:55 Απάντηση: Mikrotik IPv4/IPv6 firewall #152
ήμαρτον ...
το "ακολουθα το 1" που λες μπορεί να ερμηνευτεί με πολλούς τρόπους
- - - Updated - - -
στο log βλέπω ότι επιστρέφει Πχ
<10>: user pptpUserName authentication failed
η
<11>: user pptpUserName authentication failed
η
<12>: user pptpUserName authentication failed
προσάρμοσα
/ip firewall filter
add chain=input protocol=tcp dst-port=1723 src-address-list=ftp_blacklist action=drop \
comment="drop pptp brute forcers"
add chain=output action=accept protocol=tcp content="user pptpUserName authentication failed" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="user pptpUserName authentication failed" \
address-list=pptp_blacklist address-list-timeout=3h
Το pptpUserName αλλάζει όταν ο επιτιθέμενος δοκιμάζει με άλλο pptpUserName
για αυτό δοκίμασα με το ίδιο pptpUserName αλλά με διαφορετικό pass και μετά βλέπουμε τι θα βάλουμε για μεταβλητή.
Παρόλα αυτά δεν τον μπλοκάρει ο κανόνας στις 10 προσπάθειες το λεπτό.
Καμιά ιδέα κάποιος?
- - - Updated - - -
Μαλλον δεν θα το βρω απο το log του Mt .
Απο που μπορω να βρω τι επιστρεφει??Τελευταία επεξεργασία από το μέλος kostas2005 : 21-03-16 στις 23:37.
-
22-03-16, 09:12 Απάντηση: Mikrotik IPv4/IPv6 firewall #153
Εγώ θα έλεγα με ένα packet analyzer στον client.
Αν δεν μπορείς να βρεις από αλλού την πληροφορία...| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
22-03-16, 09:21 Απάντηση: Mikrotik IPv4/IPv6 firewall #154
και για το winbox να φανταστώ κάπως αντίστοιχα?
-
22-03-16, 09:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #155
Ναι...
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
30-03-16, 11:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #156
denisun
έκανα μία εκκαθάριση στους κανόνες μου και αντέγραψα κάποιους απο αυτούς στο ποστ 117
βλέπω όμως ότι στο drop all others δεν έχεις
connection-nat-state=!dstnat
δε σου ρίχνει και ότι έχεις ανοίξει απο το νατ?
γιατί αν δεν βάλω το παραπάνω condition το νατ είναι σα να μήν υπάρχει
-
30-03-16, 14:34 Απάντηση: Mikrotik IPv4/IPv6 firewall #157
Εξαρτάται τι δηλώσεις αφαίρεσες/άλλαξες.
Όχι δεν έχω το πρόβλημα που περιγράφεις.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
30-03-16, 15:51 Απάντηση: Mikrotik IPv4/IPv6 firewall #158
Ελάχιστα πράγματα.
Θα κάνω μία δοκιμή με αντιγραφή επικόλληση μόνο τα δικά σου να δώ.
Νομίζω όμως ότι το λογικό είναι τα τα ρίχνει τα πακέτα αν δε βάλεις αυτό που γράφω παραπάνω.
Αφού δεν είναι ούτε established ούτε related ούτε "from lan".
Οπότε κανένας κανόνας δεν έχει κάνει allow.
Προσθήκη:
Επίσης απο το packet flow diagram φαίνεται ότι το ΝΑΤ είναι μετά το input
Και εδώ ένας τύπος λέει ότι αυτό είναι το σωστό
http://forum.mikrotik.com/viewtopic.php?t=80534
και εδώ τα ίδια
http://forum.mikrotik.com/viewtopic.php?t=84267
απο ότι καταλαβαίνω δουλεύεις απο "έξω" μόνο με openvpn οπότε δεν έχεις dst-nat για να συναντήσεις το πρόβλημαΤελευταία επεξεργασία από το μέλος teodor_ch : 30-03-16 στις 16:18.
-
30-03-16, 16:14 Απάντηση: Mikrotik IPv4/IPv6 firewall #159
-
30-03-16, 16:24 Απάντηση: Mikrotik IPv4/IPv6 firewall #160
το winbox έχει packet sniffer
το δοκίμασες?
αυτά τα δοκίμασες?
https://www.google.gr/search?q=mikro...tp+brute+force
-
30-03-16, 19:01 Απάντηση: Mikrotik IPv4/IPv6 firewall #161
Ωραία ευχαριστώ θα δοκιμάσω με το winbox packet sniffer.
Αναζήτηση έκανα και δοκίμασα και τους κανόνες απο το πρώτο post αλλά δεν δούλεψαν.
Συνέχισα να κάνω απόπειρες χωρίς να με κόψει με κάτι σαν connection refused στο winbox-log.
Μήπως δεν βλέπω καλά ειναι δυνατόν να μην υπάρχει πρώτο πρώτο κάτι τέτοιο στο Google search?
- - - Updated - - -
Με το packet sniffer δεν έβγαλα άκρη οπότε κοίταξα στην διαχείριση των xp μετα έβαλα ενα ddwrt να κάνει κλήση αλλά στο gui log δεν εμφανιζόταν τίποτα
μετα κοίταξα με syslog και εδώ δεν είδα κάτι οπότε έκανα το ιδιο με ένα tomato.
Εδω 2 γραμμές που ξεχώρισα ηταν
pptp [903]: MS-CHAP authentication failed: bad username or password
Αυτο αν δεν κάνω λάθος το έχω δοκιμάσει και δεν έκανα δουλειά εκτός αν είχα κάποιο λάθος στον κανόνα.
Η δεύτερη γραμμή
pptp [903]: CHAP authentication failed
-
30-03-16, 19:52 Απάντηση: Mikrotik IPv4/IPv6 firewall #162
Η υλοποίηση αυτουνού μου φαίνεται αρκετά έξυπνη.
Κοιτάει τις νέες συνδέσεις ανα χρόνο.
Ρίξε μία ματιά
http://forum.mikrotik.com/viewtopic.php?t=22257#p110156
-
30-03-16, 20:41 Απάντηση: Mikrotik IPv4/IPv6 firewall #163
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
30-03-16, 20:47 Απάντηση: Mikrotik IPv4/IPv6 firewall #164
Δε με κατάλαβες.
Επειδή χρησιμοποιείς ΜΟΝΟ openvpn δεν σου έχει τύχει το πρόβλημα.
Έχεις κάποια θύρα να ανοίξεις με ΝΑΤ και να δείς απο άλλη WAN IP (πχ. κινητό μέσω mobile internet) αν τη βλέπει?
Εγώ που έχω ανοίξει το winbox απο έξω για δικούς μου λόγους χωρίς αυτόν τον όρο δεν δίνει πρόσβαση.
Μέσω openvpn όλα δουλεύουν μια χαρά.
-
30-03-16, 20:53 Απάντηση: Mikrotik IPv4/IPv6 firewall #165
Εννοείς αν έχω κάνει port forward;
Όχι δεν έχω ανοίξει καμιά πόρτα από έξω προς στα μέσα πλην του openvpn.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks