Mikrotik — различия между версиями
Материал из gptel_wiki
Admin (обсуждение | вклад) (→Выгрузка конфигурации) |
Admin (обсуждение | вклад) (→Fail2Ban для Mikrotik) |
||
Строка 11: | Строка 11: | ||
==Fail2Ban для Mikrotik== | ==Fail2Ban для Mikrotik== | ||
− | SSH подключение. При | + | SSH подключение. При 3-х повторах попыток блокировка на 1 мин, после 3-й - блокировка на 1 сутки. |
Возможно проще читать снизу вверх | Возможно проще читать снизу вверх | ||
Добавляет в black_list если клиент 3 раза заморочился попыткой | Добавляет в black_list если клиент 3 раза заморочился попыткой | ||
− | add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout= | + | add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1d \ |
chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3 disabled=no | chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3 disabled=no | ||
Если 2 раза была попытка - переносим в список кандидатов на блокировку | Если 2 раза была попытка - переносим в список кандидатов на блокировку |
Версия 10:10, 14 декабря 2019
Выгрузка конфигурации
Показать конфиг в терминале
/export compact
Сохранить конфигурацию в файл
/export compact file=[filename]
Импорт конфигурации роутера из файла
/import file-name=[filename]
Fail2Ban для Mikrotik
SSH подключение. При 3-х повторах попыток блокировка на 1 мин, после 3-й - блокировка на 1 сутки.
Возможно проще читать снизу вверх
Добавляет в black_list если клиент 3 раза заморочился попыткой
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1d \ chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3 disabled=no
Если 2 раза была попытка - переносим в список кандидатов на блокировку
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m \ chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 disabled=no
Вторая попытка -
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m \ chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 disabled=no
Самая первая попытка соединения - №1
add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp disabled=no
Итого само правило блокировки:
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \ protocol=tcp src-address-list=ssh_blacklist disabled=no