Как заблокировать попытки подобрать пароль к роутеру из Интернет?

Тема в разделе "Вопросы начинающих", создана пользователем DmitryD, 3 апр 2015.

  1. DmitryD

    DmitryD Новый участник

    Постоянно в логе вижу попытки войти в роутер через WAN. Как отключить такую возможность, сохранив все адреса динамическими?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    У Вас насколько помню 2 интерфейса
    Ether1-gateway и PPP
    делаем

    /ip firewall filter
    add chain=input connection-state=established,related
    add chain=input protocol=icmp
    add chain=input dst-port=8291 protocol=tcp
    add action=drop chain=input in-interface=ether1-gateway
    add action=drop chain=input in-interface=PPP

    Где PPP имя вашего PPP-интерфейса.
     
  3. Mook_34

    Mook_34 Участник

    Добрый день.
    А возможно закрыть на сканирование портов?
    Что бы из вне не смогли сканировать порты на открытие.
    Спасибо.
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Последнее редактирование модератором: 6 фев 2019
  5. Mook_34

    Mook_34 Участник

    Спасибо огромное !!
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Последнее редактирование модератором: 6 фев 2019
    Kato и Alius нравится это.
  7. Mook_34

    Mook_34 Участник

    я так понят что по ней можно заблокировать злодея а потом посмотреть?Так?
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Да, вообще очень удобный вариант правил.
    Например, если вы его перепишите на порт 3389 и на цепочку forward вы защитите от подбора пароля опубликованный RDP.
     
  9. Mook_34

    Mook_34 Участник

    О как....у меня был опыт когда взломали именно RDP...:(
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Ну тогда вот вам решение.
    Единственно, я бы увеличил количество попыток до 5, а время бана уменьшил минут до 15-30. Иначе пользователи замучают )
     
  11. Mook_34

    Mook_34 Участник

    нет лучше не буду рисковать а подниму VPN...Кстати не подскажите как безопастно поднимать OpenVPN?Буду благодарен
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    Не подскажу. С OpenVPN серьезно не экспериментировал.
     
  13. netmastaru

    netmastaru Новый участник

    я считаю, что нужно перед выходом во внешний мир отключать дискаверинг на всех портах даже сомтрящих в локалку, ну или один про запас оставить который вообще не юзается)) изменить имя админской учетки и пароль без содержания словарных русских и английских слов. вот и вся недолга.
     
  14. netmastaru

    netmastaru Новый участник

    столкнулся с ужасной проблемой :)
    есть локалка *.3.0/24 без DHCP. В ней стоит ИКС сервер который определенным айпишникам, назначенным в ручную, даёт доступ в инет. Один айпи выделен под вай-фай *.3.99 . До поры до времени я настроил тупой ТПлинк. Присвоил на ван евойный статический адрес из 3-ей сетки. Настроил вайфай пустил в него DHCP из 192.168.1.0/24. Все пользаки радостные (хоть и канал обрезаный) и из вай фай доступа в локалку нет. Всё было хорошо но руководство не внемлело просьбам купить ИБП. И в час икс тплинк как водится сдох. Теперь же куплен ИБП и куплен был для этих наиужаснейших целей вышеупомянутый микротик. Я конечно не совсем нуб но что-то не могу никак эту гигантскую задачу решить))))))
    В 2011 10 портов плюс wlan1
    Из 4-х (2-5) портов первого свитча собрал бридж гигабитный, так уж от не фиг делать. Из 4 следующих портов (6-9) 100 МБ-й бридж.
    оставил под ван eth1 и eth10 под дискаверинг на всякий пожарный. Настроил вайфай под себя.
    Думаю как теперь правильно сделать чтобы из вайфай, в котором будет раздаваться диапазон адресов из 192.168.1.0/24 сетки, не было доступа в локалку а интернет чтобы у них был, который бы брался с порта eth1 на котором айпи 3.99 должен быть.
     
  15. Виталий

    Виталий Новый участник

    У Вас насколько помню 2 интерфейса
    Ether1-gateway и PPP
    делаем

    /ip firewall filter
    add chain=input connection-state=established,related
    add chain=input protocol=icmp
    add chain=input dst-port=8291 protocol=tcp
    add action=drop chain=input in-interface=ether1-gateway
    add action=drop chain=input in-interface=PPP

    Где PPP имя вашего PPP-интерфейса.
    _____________________________________
    Сори возможно я нублю, но зачем открывать 8291 порт?
     
  16. netmastaru

    netmastaru Новый участник

    Это стандартный порт микротика для винбокса.
     
  17. Александр Хоханов

    Александр Хоханов Новый участник

    В Wiki говорится: "Various combinations of TCP flags can also indicate port scanner activity."
    У кого-нибудь есть опыт работы в таком виде, без флагов:
    /ip firewall filter
    add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
    add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no

    Работает защита от сканера портов?
     
    Последнее редактирование модератором: 6 фев 2019
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Почему нет? Работает.
     
  19. Pavel N

    Pavel N Участник

    А были ли шаблоны для пакетных фильтров с отказом в авторизации по RDP протоколу ??? чтоб их выловить
    насколько я понимаю он должен (может) быть шифрован и ответ в рамках сессии пройдет как шифрованный пакет с ответом (или я ошибаюсь ??)