Keresés: - Mikrotik routerek - Mobilarena Hozzászólások

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Téma összefoglaló

Utoljára frissítve: 2021-08-17 20:43

Mobilarena

Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

#5215 bambano titán human374 #5206

Új Válasz 2018-07-15 02:25:11 #5215
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz human374 #5206 üzenetére

én azt csináltam, hogy kitiltottam mindenkit, és knockd-vel beengedem, akit kell.
#5213 feel2006 tag human374 #5206

Új Válasz 2018-07-14 21:31:43 #5213
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

feel2006

tag

válasz human374 #5206 üzenetére

Én is meguntam, így összeraktam egy bogons listát anno ezen az oldalon található IP-k alapján:
Nem a legelegánsabb tudom, de a 951/952/HEX bírja..
Ázsia, Afrika, DélAmerika ezzel nálam helo.
Ezzel a szabállyal futtatom le aki aki a fasttrack és DDOS felismerés után eljutnak a bogons listámig
/ip firewall filter
add action=drop chain=input comment="dropping Banned IP's" in-interface=ether1 \
log=yes log-prefix="Drop IP from Bogon list:" src-address-list=bogons
ha eseleg kellenek az IP-k, melyeket terminálból be tudsz adni (nem egybe, nekem 1000 soronként ette csak meg a TIK), itt elérhető: link
Ha másnak elegánsabb megoldása van és megosztja, még lehet én is változtatok a routereimen.
#5207 Shkiz0 nagyúr human374 #5206

Új Válasz 2018-07-14 10:55:19 #5207
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Shkiz0

nagyúr

válasz human374 #5206 üzenetére

Ird at az alapertelmezett portokat mint a 23 80 stb pl 10023 10080 stb
Igy is lesz probalkozas elvetve de joval kevesebb.
#5205 Ablakos őstag human374 #5202

Új Válasz 2018-07-13 22:47:51 #5205
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Ablakos

őstag

válasz human374 #5202 üzenetére

A DIGI ügyfélszolgálaton kell kérni. (tel.) Nekem kb 10 perc volt. (Aztán csak ügyesen a miki tűzfallal. )
Az 1100AHx4 talán már alkalmas a gigabites sávszélre.
#5204 Shkiz0 nagyúr human374 #5202

Új Válasz 2018-07-13 19:44:54 #5204
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Shkiz0

nagyúr

válasz human374 #5202 üzenetére

Rb750Gr3, RB1100AHx2, RB1100AHx4, RB450Gx4, RB3011
#5203 e90lci senior tag human374 #5202

Új Válasz 2018-07-13 18:00:48 #5203
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

e90lci

senior tag

válasz human374 #5202 üzenetére

Ilyet.
#611 bacus őstag human374 #610

Új Válasz 2015-06-05 14:50:26 #611
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bacus

őstag

válasz human374 #610 üzenetére

Inkább amennyire állitod.
MaxAuthTries 55
/etc/ssh/sshd_config -ban, és akkor 55x is lehet.
#609 bacus őstag human374 #606

Új Válasz 2015-06-05 13:04:00 #609
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bacus

őstag

válasz human374 #606 üzenetére

Nem értem ezt a 9 lehetőséget, hiszen az időtől függ. Ha 1 percen belül próbálkozik, akkor a 4. után kizárta magát, ha meg 5 percenként, akkor végtelen lehetősége van.
Akár hiszed, akár nem, de ez a failed loginra reagál. ,én még nem láttam ugyanis usert, aki egy sikeres belépés után kilépne, majd ezt még 3x megcsinálja 1 percen belül.
Egy secure layernél azért az joggal elvárható, hogy a routered SE lásson bele a folyamatba, még akkor se, ha az is a Te eszközöd. A mt mögött lévő szerver pontosan tudja, ha failed login van, ha nem tetszik ez, akkor az ssh szerveren le tudod kezelni a problémát. Ha igazán biztonságosat akarsz, akkor a jelszó alapú belépést eleve tiltod, root felhasználó nem léphet be.., stb.
#599 bacus őstag human374 #597

Új Válasz 2015-06-04 17:22:28 #599
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bacus

őstag

válasz human374 #597 üzenetére

Flags: X - disabled, D - dynamic
# LIST ADDRESS TIMEOUT
0 D ssh_blacklist 43.229.52.157 1w4d19h11m3s
1 D ssh_blacklist 43.229.52.156 1w4d19h34m52s
2 D ssh_blacklist 43.229.52.177 1w4d20h10m53s
....
71 D ssh_blacklist 27.251.106.253 1w6d20h46m10s
72 D ssh_blacklist 101.251.64.250 1w6d22h11m47s
73 D ssh_blacklist 43.229.52.158 1w6d23h8m37s
nálam most épp 73 bejegyzés van, de csak azért ennyi, mert egész tartományokat kidobok már az elején..
Ezekből a tartományokból egyáltalán nem kezdeményezhet senki semmilyen kapcsolatot.
Egy pár tartomány. Innen e-mail sem jöhet, ezért innen nem érdemes céges levélre bármit is várnom. A gmail-re persze tudnak irni...
6 ;;; Clarkston, Washington, United States, mail szerverre probalt betorni
blocked 209.119.222.38
7 ;;; Near: Tarapoto, San Martin, Peru
blocked 190.239.0.0/16
8 ;;; Near: Lanus, Buenos Aires, Argentina
blocked 190.51.0.0/16
9 ;;; Spain
blocked 90.170.0.0/16
10 ;;; Near: Valcea, Valcea, Romania
blocked 109.96.0.0/16
#598 bacus őstag human374 #597

Új Válasz 2015-06-04 17:05:17 #598
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bacus

őstag

válasz human374 #597 üzenetére

Ott vannak a time outok!
Az ssh, mivel secure, ezért a router nem látja a kliensnek adott választ, nem tudja, hogy egy bejelentkezés sikeres volt avagy sikertelen.
Tehát a következő képpen működik.
Új kapcsolat bekerül a stage1 -be, ha ugyanonnan nem kezdeményeződik új kapcsolat, akkor lekerül a listáról
Előtte van egy vizsgálat, hogy új kapcsolat és már valaki a stage1 ben van, akkor ez egy percen belül már a második próbálkozás, roppant gyanus, ezért bekerül a stage2 -be.
Ez előtt is van vizsgálat, hogy új a kapcsolat és már a stage2 ben van, stb.
Ha valaki új kapcsolatot kezdeményez, de már stage3, akkor bekerül az ssh blacklistre 10 napra.
Sorrend fontos, hogy forditott legyen. (legalábbis a drop szabály legyen az első)
Tehát összesen 3x lehet próbálkozni úgy, hogy nem várod ki az 1 percet! Minden rontott próbálkozás után 1 perc várakozással, (de legalább minden 2. próbálkozás után várnod kell 1 percet) a végtelenségig próbálkozhatsz. Ha viszont ezt nem igy csinálod, akkor 10 napig várnod kell a következő lehetőségre.
Hatásos, én is használom, ha van ssh szerver mikrotik mögött. Már sokszor kizártam magam , de nincs baj, mert csinálhatsz egyéb szabályt, amivel tudod törölni magad a listáról, pl. egy sikeres openvpn bejelentkezés után törli az ip cimet a black listáról.