Мастера,
Мне нужна помощь, как настроить наш роутер на блокировку атак методом перебора RDP
Я хотел бы настроить наш маршрутизатор так, чтобы он разрешал RDP-соединение только из указанной страны (наши указанные диапазоны IP-адресов), плюс мне нужно настроить маршрутизатор для блокировки (взять IPS в черный список) и отбросить грубую силу attepmst для указанных номеров портов.
Я пытаюсь установить это, изменив порт ftp на порт rdp.
http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP_%26_SSH
Любое предложение tnx.
ЧАС
Текущая конфигурация:
Пытаюсь настроить роутер через Winbox.
Я установил некоторые правила NAT (от dyndns до локального адреса, порта rdp)
На вкладке правил фильтрации:
Спасибо
// Новый конфиг
Конфигурация FTP на самом деле просматривает данные FTP, чтобы увидеть код 530. Вы захотите адаптировать конфигурацию SSH, а не конфигурацию FTP. Попробуй это:
add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
На самом деле эта конфигурация делает то, что при каждой входящей попытке она добавляет IP-адрес в список. В первый раз, когда он добавляется в stage1, затем, если IP все еще находится на stage1 (через минуту) и делается еще одна попытка, он добавляется в stage2, и после того, как он делает это еще два раза, он добавляется в список rdp_blacklist, где он фактически блокируется на 10 дней.
Если вы хотите, чтобы он был более или менее агрессивным, вы можете изменить время ожидания списка или даже добавить больше списков, если хотите.
Вы можете добавить их список, чтобы разрешить только определенные диапазоны IP-адресов:
add chain=forward dst-port=3389 src-address=192.168.0.0/24 action=accept
add chain=forward dst-port=3389 src-address=10.10.0.1/32 action=accept
add chain=forward dst-port=3389 action=drop
Просто добавьте столько строк src-address, сколько вам нужно, перед последней строкой. Если у вас МНОГО диапазонов, вы можете создать список адресов и ссылаться на него, используя это:
add chain=forward dst-port=3389 src-address-list=rdp_acceptlist action=accept
add chain=forward dst-port=3389 action=drop
А потом добавьте свои адреса в rdp_acceptlist
Чтобы добавить в список rdp_acceptlist, используйте следующую команду:
/ip firewall address-list add list=rdp_acceptlist address=192.168.0.0/24