Mikrotik IPv4/IPv6 firewall

[deniSun]

Ακολουθείς το (1).
Για το dst-limit δες εδώ.

[kostas2005]

ήμαρτον ...
το "ακολουθα το 1" που λες μπορεί να ερμηνευτεί με πολλούς τρόπους

- - - Updated - - -

Δεν ξέρω αν θα πετύχει γιατί δεν έχω ασχοληθεί με pptp μόνο με Openvpn.
Αν επιστρέφει 530 Login incorrect τότε θα δουλέψει.
Αν όχι θα πρέπει να βρεις τι επιστρέφει σε περίπτωση μη σύνδεσης και ανάλογα να τροποποιήσεις το content.

στο log βλέπω ότι επιστρέφει Πχ

<10>: user pptpUserName authentication failed
η
<11>: user pptpUserName authentication failed
η
<12>: user pptpUserName authentication failed

προσάρμοσα

/ip firewall filter
add chain=input protocol=tcp dst-port=1723 src-address-list=ftp_blacklist action=drop \
comment="drop pptp brute forcers"

add chain=output action=accept protocol=tcp content="user pptpUserName authentication failed" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="user pptpUserName authentication failed" \
address-list=pptp_blacklist address-list-timeout=3h

Το pptpUserName αλλάζει όταν ο επιτιθέμενος δοκιμάζει με άλλο pptpUserName
για αυτό δοκίμασα με το ίδιο pptpUserName αλλά με διαφορετικό pass και μετά βλέπουμε τι θα βάλουμε για μεταβλητή.

Παρόλα αυτά δεν τον μπλοκάρει ο κανόνας στις 10 προσπάθειες το λεπτό.
Καμιά ιδέα κάποιος?

- - - Updated - - -

Μαλλον δεν θα το βρω απο το log του Mt .
Απο που μπορω να βρω τι επιστρεφει??

[deniSun]

Εγώ θα έλεγα με ένα packet analyzer στον client.
Αν δεν μπορείς να βρεις από αλλού την πληροφορία...

[kostas2005]

και για το winbox να φανταστώ κάπως αντίστοιχα?

[deniSun]

Ναι...

[teodor_ch]

denisun

έκανα μία εκκαθάριση στους κανόνες μου και αντέγραψα κάποιους απο αυτούς στο ποστ 117

βλέπω όμως ότι στο drop all others δεν έχεις
connection-nat-state=!dstnat

δε σου ρίχνει και ότι έχεις ανοίξει απο το νατ?
γιατί αν δεν βάλω το παραπάνω condition το νατ είναι σα να μήν υπάρχει

[deniSun]

Εξαρτάται τι δηλώσεις αφαίρεσες/άλλαξες.
Όχι δεν έχω το πρόβλημα που περιγράφεις.

[teodor_ch]

Ελάχιστα πράγματα.

Θα κάνω μία δοκιμή με αντιγραφή επικόλληση μόνο τα δικά σου να δώ.

Νομίζω όμως ότι το λογικό είναι τα τα ρίχνει τα πακέτα αν δε βάλεις αυτό που γράφω παραπάνω.
Αφού δεν είναι ούτε established ούτε related ούτε "from lan".
Οπότε κανένας κανόνας δεν έχει κάνει allow.

Προσθήκη:

Επίσης απο το packet flow diagram φαίνεται ότι το ΝΑΤ είναι μετά το input

Και εδώ ένας τύπος λέει ότι αυτό είναι το σωστό
http://forum.mikrotik.com/viewtopic.php?t=80534

και εδώ τα ίδια
http://forum.mikrotik.com/viewtopic.php?t=84267

απο ότι καταλαβαίνω δουλεύεις απο "έξω" μόνο με openvpn οπότε δεν έχεις dst-nat για να συναντήσεις το πρόβλημα

[kostas2005]

Εγώ θα έλεγα με ένα packet analyzer στον client.
Αν δεν μπορείς να βρεις από αλλού την πληροφορία...

Μήπως μπορείς να μου πεις που αλλού θα βρω την πληροφορία ?
μήπως είναι το
CHAP authentication failed

λεει σε κάποιον κάτι?

[teodor_ch]

το winbox έχει packet sniffer
το δοκίμασες?

αυτά τα δοκίμασες?
https://www.google.gr/search?q=mikro...tp+brute+force

[kostas2005]

Ωραία ευχαριστώ θα δοκιμάσω με το winbox packet sniffer.
Αναζήτηση έκανα και δοκίμασα και τους κανόνες απο το πρώτο post αλλά δεν δούλεψαν.
Συνέχισα να κάνω απόπειρες χωρίς να με κόψει με κάτι σαν connection refused στο winbox-log.
Μήπως δεν βλέπω καλά ειναι δυνατόν να μην υπάρχει πρώτο πρώτο κάτι τέτοιο στο Google search?

- - - Updated - - -

Με το packet sniffer δεν έβγαλα άκρη οπότε κοίταξα στην διαχείριση των xp μετα έβαλα ενα ddwrt να κάνει κλήση αλλά στο gui log δεν εμφανιζόταν τίποτα
μετα κοίταξα με syslog και εδώ δεν είδα κάτι οπότε έκανα το ιδιο με ένα tomato.
Εδω 2 γραμμές που ξεχώρισα ηταν
pptp [903]: MS-CHAP authentication failed: bad username or password
Αυτο αν δεν κάνω λάθος το έχω δοκιμάσει και δεν έκανα δουλειά εκτός αν είχα κάποιο λάθος στον κανόνα.
Η δεύτερη γραμμή
pptp [903]: CHAP authentication failed

[teodor_ch]

Η υλοποίηση αυτουνού μου φαίνεται αρκετά έξυπνη.
Κοιτάει τις νέες συνδέσεις ανα χρόνο.

Ρίξε μία ματιά

http://forum.mikrotik.com/viewtopic.php?t=22257#p110156

[deniSun]

Ελάχιστα πράγματα.

Θα κάνω μία δοκιμή με αντιγραφή επικόλληση μόνο τα δικά σου να δώ.

Νομίζω όμως ότι το λογικό είναι τα τα ρίχνει τα πακέτα αν δε βάλεις αυτό που γράφω παραπάνω.
Αφού δεν είναι ούτε established ούτε related ούτε "from lan".
Οπότε κανένας κανόνας δεν έχει κάνει allow.

Προσθήκη:

Επίσης απο το packet flow diagram φαίνεται ότι το ΝΑΤ είναι μετά το input

Και εδώ ένας τύπος λέει ότι αυτό είναι το σωστό
http://forum.mikrotik.com/viewtopic.php?t=80534

και εδώ τα ίδια
http://forum.mikrotik.com/viewtopic.php?t=84267

απο ότι καταλαβαίνω δουλεύεις απο "έξω" μόνο με openvpn οπότε δεν έχεις dst-nat για να συναντήσεις το πρόβλημα

Ναι από έξω το χρησιμοποιώ το openvpn.
Αλλά είχα κάνει δοκιμές να δω αν δουλεύει και από μέσα.
Και για να το επιβεβαιώσω έκανα και τώρα έλεγχο.
Δουλεύει το openvpn με τις ρυθμίσεις που έχω στο fw ΚΑΙ από μέσα χωρίς κανένα πρόβλημα.

[teodor_ch]

Δε με κατάλαβες.
Επειδή χρησιμοποιείς ΜΟΝΟ openvpn δεν σου έχει τύχει το πρόβλημα.
Έχεις κάποια θύρα να ανοίξεις με ΝΑΤ και να δείς απο άλλη WAN IP (πχ. κινητό μέσω mobile internet) αν τη βλέπει?

Εγώ που έχω ανοίξει το winbox απο έξω για δικούς μου λόγους χωρίς αυτόν τον όρο δεν δίνει πρόσβαση.

Μέσω openvpn όλα δουλεύουν μια χαρά.

[deniSun]

Εννοείς αν έχω κάνει port forward;
Όχι δεν έχω ανοίξει καμιά πόρτα από έξω προς στα μέσα πλην του openvpn.