L2tp+ipsec-Firewall

Тема в разделе "Вопросы начинающих", создана пользователем blackfenix38, 20 июл 2017.

  1. blackfenix38

    blackfenix38 Новый участник

    Здравствуйте уважаемые гуру , у меня возник вопрос , после поднятия L2tp(server)+ipsec в микротик начинают стучать боты
    500 port udp в лог микротика начинают приходить логи ( ipsec,error ip parsing packet failed,possible cause :wrong password ) что свидетельствует о подборе пароля ipsec
    Подскажите пожалуйста как можно в firewall создать правило для добавления src adress lis таких товарищей
    чтоб именно оно было к ipsec авторизации

    наподобии как защита от L2tp перебора
    add action=add-dst-to-address-list address-list=vpn_blacklist_l2 address-list-timeout=1m chain=output content="M=bad" dst-address-list=vpn_blacklist_l1
    тут мы валавливаем пакет M=bad

    acces list не вариант , лог вайшарка скинуть могу без проблем , только вот до сих пор осталость загадкой для меня как отловить момент не правильной авторизации ) чтоб спать спокойно в Linux iptables
    ipsec зашишают путем hash limit
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Боюсь что не знаю как это сделать просто и элегантно (
     
  3. blackfenix38

    blackfenix38 Новый участник

    Илья а возможен ли такой вариант в микротики есть скриптинг
    написать скрипт каторый будет каждые 10-15 секунд анализировать Лог файл на придмет сообшения ipsec,error xxx.xxx.xxx.xxx(ip)
    брать данный ip и добавлять ip>firewall adress list а в самом firewall соотсветственно готовое пправило стоит что такой лист reject
    Я просто в скриптинг сильно не залазил на Router OS я понимаю что микротик не linux ) и за такие его бюджетные цены он имеет на борту замечательный универсальный функционал каторый в свзяки с linux добавляет друг друга )
    ну скажу одно познав iptables микратик firewall как графический интерфейс его ) всё чётко и понятно ) если открывать какой нить сервис на ружу то только с умом

    Можно конечно поднять на linux rsyslog server и с микротики отправлять лог туда потом скриптиком выделять нужную фразу и ип и отправлять через api или ssh назад ) но вот хочу без помощи linux сделать так как не любитель я костылей )
     
    Последнее редактирование: 21 июл 2017
  4. Да можно "парсить" лог, и выполнять скрипты. Такие возможности точно есть.
     
  5. Мышаня

    Мышаня Участник

    Думаю, надо написать скрипт на подобии "отлавливателя" адресов соц. сетей
    Код:
    :foreach i in=[/ip dns cache all find where (name~"facebook" || name~"ok" || name~"odnokl" ||  name~"instagram.com" || name~"myspace" || name~"myspace.com" || name~"my.mail" || name~"vkrugudruzei" || name~"mirtesen" || name~"torrent" || name~"tracker") && (type="A") ] do={
    :local tmpAddress [/ip dns cache get $i address];
    delay delay-time=10ms
    #prevent script from using all cpu time
    :if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
    :local cacheName [/ip dns cache get $i name] ;
    :log info ("added entry: $cacheName $tmpAddress");
    /ip firewall address-list add address=$tmpAddress list=blockSS comment=$cacheName;
    }
    }
    Только чтоб он парсил лог и добавлял ip в чёрный список.
    Готового скрипта у меня нет, но где-то встречал нечто подобное на просторах сети. Постараюсь найти
     
  6. Мышаня

    Мышаня Участник

    blackfenix38 и Денис Друженков нравится это.
  7. blackfenix38

    blackfenix38 Новый участник

    Спасибо большое за направление , я уже нащёл искуемую переменную вывода , а вот как с интерпретатора только ip адресс оставить пока не ясно
    /log print where message~"parsing"
    Выводит ipsec,error 192.168.XXX.XXX parsing packet failed, possible cause: wrong password
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    По идее:

    string.sub
    string.sub(S, i, j); -- Возвращает подстроку строки S, которая начинается с символа с индексом i и заканчивается символом с индексом j
    -- j (необязательный параметр) - по-умолчанию, индекс последнего символа
    S:sub(i,j); -- Эквивалентно

    Вообще смотрите справочник по LUA
     
    Мышаня нравится это.
  9. Chexov

    Chexov Новый участник

    Добрый день!
    Получилось у вас со скриптом, не могли бы скинуть его сюда готовый?
    Благодарю!

     
    Последнее редактирование: 27 авг 2019