Mikrotik - Router, Router, Zugangspunkt.

Wie richte ich Mikrotik ein? Wie schützt man Mikrotik vor feindlichen Eingriffen von außen?
Ersteinrichtung des Mikrotik-Routers (Router). Erster Mikrotik-Schutz.

Um Ihren Mikrotik-Router zu schützen, müssen Sie:
1. Ändern Sie das Administratorkennwort.
2. Deaktivieren Sie unnötige, ungenutzte Dienste.
3. Aktivieren Sie NAT
4. Konfigurieren Sie die Firewall – organisieren Sie Filterung und Paketdurchgang.

P.S. Nach dem Befehl setup, R, löscht der Router alle Einstellungen, jedoch keine Passwörter. Sie können über WinBox über IP - 192.168.88.1 eine Verbindung zu ihm herstellen

Einstellungen über die Konsole:
Name Admin, Passwort leer.
Wenn Sie Ihr Passwort vergessen, rettet Sie nur ein kompletter Reset – eine Neuinstallation des Routers!
Passwort ändern:
>Benutzer Admin-Passwort bearbeiten
Der Editor öffnet sich, geben Sie ein Neues Passwort. Zum Speichern und Beenden drücken Sie Strg+o (Strg und den Buchstaben o gleichzeitig).
Für alle Fälle können Sie einen neuen Benutzer hinzufügen:
>Verwenden Sie add name=mkt passwort=12345 group=full

Mal sehen, welche Schnittstellen es gibt:
>Schnittstellendruck


0 X ;;; WAN
Ether1 Ether 1500 1600 1600
1 X ;;; LAN
Ether2 Ether 1500 1600 1600

Aktivieren Sie diejenigen, die Sie benötigen:
>Schnittstellenfreigabe 0
>Schnittstellenfreigabe 1
>Schnittstellendruck
Flags: D – dynamisch, X – deaktiviert, R – läuft, S – Slave
# NAME TYP MTU L2MTU MAX-L2MTU
0 R ;;; WAN
Ether1 Ether 1500 1600 1600
1 R ;;; LAN
Ether2 Ether 1500 1600 1600

Schauen wir uns die IP an:
> IP-Adresse drucken
Nehmen Sie zum Beispiel die folgenden Parameter:
Anbieter (Internet) - 195.196.10.50
GW (Gateway) – 195.196.10.49
DNS-Server – 195.196.11.10, 195.196.12,10
Lokales Netzwerk (intern) – 192.168.18.0/24
Fügen Sie einen IP-Anbieter hinzu:
>IP-Adresse hinzufügen Adresse=195.196.10.10/30 Schnittstelle=ether1
Lokal hinzufügen:
>IP-Adresse hinzufügen Adresse=192.168.18.0/24 Schnittstelle=ether2
Lass uns nachsehen, was passiert ist:
> IP-Adresse drucken
Fügen Sie ein Provo-Gateway hinzu:
> IP-Route Gateway hinzufügen=195.196.10.49
Lass uns nachsehen:
> IP-Route drucken

Fügen Sie den DNS des Internetanbieters hinzu:
> IP-DNS-Set-Server=195.196.11.10,195.196.12,10allow-remote-request=yes

NAT (Maskerade) aktivieren:
> IP-Firewall nat add chain=srcnat action=masquerade out-interface=ether1
Nach diesen Einstellungen verfügt das interne Netzwerk über einen Internetzugang.

Konfigurieren Sie die Firewall, d. h. Es ist notwendig, die Paketfilterung (Eingabeketten) zu organisieren, und natürlich, damit Ihr Netzwerk nach dem Schutz funktionieren kann – um den Durchgang von Paketen zu organisieren – sind dies Vorwärtsketten:

P.S. Gehen Sie zunächst über WinBox - IP -> Firewall -> Service-Port - alles deaktivieren. Deaktivieren Sie, lassen Sie das Notwendige, nämlich in unserem Fall pptp (VPN-Server), und wenn Sie das integrierte FTP verwenden möchten, ftp

Regeln hinzufügen:
IP-Firewall-Filter hinzufügen Kette = Eingabe Verbindungsstatus = ungültig Aktion = Kommentar löschen = „Ungültige Verbindungen löschen“
IP-Firewall-Filter hinzufügen Kette = Eingabe Verbindungsstatus = hergestellt Aktion = Kommentar akzeptieren = „Hergestellte Verbindungen zulassen“
IP-Firewall-Filter add chain=input Protocol=udp action=accept comment="UDP zulassen"
IP-Firewall-Filter add chain=input Protocol=icmp action=accept comment="ICMP zulassen"
IP-Firewall-Filter add chain=input src-address=192.168.0.0/24 action=accept comment=“Zugriff vom lokalen Netzwerk zulassen“
Die nächsten beiden Regeln gelten, wenn Sie über Ihr Mikrotik den Zugriff auf Ihr internes Netzwerk über VPN (pptp-Server) einrichten möchten.
Der erste öffnet Port 1723, der zweite erlaubt Protokoll 47 (GRE).
IP-Firewall-Filter hinzufügen Kette = Eingabe Aktion = Protokoll akzeptieren = TCP DST-Port = 1723 Kommentar = „Zugriff auf VPN zulassen“
IP-Firewall-Filter add chain=input action=accept Protocol=gre comment=“Wenn Sie ein VPN (pptp-Server) haben“
Mit der folgenden Regel können Sie über WinBox eine Verbindung zu Ihrem Mikrotik herstellen (Standardport 8291).
P.S. Natürlich müssen Sie die „IP-Dienstliste“ konfigurieren. IP -> Dienste -> IP-Dienstliste, klicken Sie auf die Winbox-Zeile, das Datenbearbeitungsfenster wird geöffnet -> ändern Sie die IP in die, von der aus Sie eine Verbindung herstellen möchten Das Gleiche muss mit SSH und WWW geschehen, alle anderen Dienste deaktivieren – deaktivieren. (ip_address_allow – Ihre IP)
IP-Firewall-Filter hinzufügen Kette=Eingabe Aktion=Akzeptieren Protokoll=TCP src-address=ip_address_allow dst-port=8291 Kommentar=“Zugriff über WinBox zulassen“
IP-Firewall-Filter hinzufügen chain=input action=accept Protocol=tcp src-address=ip_address_allow dst-port=22 comment="Zugriff über SSH zulassen"
IP-Firewall-Filter hinzufügen chain=input action=accept Protocol=tcp src-address=ip_address_allow dst-port=80 comment="Zugriff über WWW zulassen"
Wenn Sie das integrierte FTP verwenden möchten:
IP-Firewall-Filter hinzufügen Kette=Eingabe Aktion=Akzeptieren Protokoll=TCP src-address=ip_address_allow dst-port=21 Kommentar=“Zugriff auf FTP zulassen“
Alles andere hacken wir:
IP-Firewall-Filter add chain=input action=drop comment="Löschen, alle anderen ablehnen"

Um Ihr Netzwerk zu schützen, müssen Sie den gesamten durchlaufenden Datenverkehr überprüfen
Router und blockieren Sie unerwünschte.

IP-Firewall-Filter hinzufügen Kette = Protokoll weiterleiten = TCP-Verbindungsstatus = ungültige Aktion = Kommentar löschen = „Ungültige Verbindungen löschen“
IP-Firewall-Filter hinzufügen Kette = Verbindungsstatus weiterleiten = hergestellt Aktion = Kommentar akzeptieren = „Bereits hergestellte Verbindungen zulassen“
IP-Firewall-Filter hinzufügen Kette = Verbindungsstatus weiterleiten = verbundene Aktion = Kommentar akzeptieren = „Zugehörige Verbindungen zulassen“
Für alle Fälle erlauben wir die Verabschiedung des GRE-Protokolls:
IP-Firewall-Filter add chain=forward Protocol=gre action=accept comment="GRE zulassen"
Wenn Sie über einen VPN-Server verfügen, erlauben Sie Port 3389, RDP (Remote Desktop) auszuführen.
IP-Firewall-Filter hinzufügen Kette = Protokoll weiterleiten = TCP DST-Port = 3389 Aktion = Kommentar akzeptieren = „3389 zulassen“

Wir blockieren IP-Adressen interner Netzwerke.
IP-Firewall-Filter add chain=forward src-address=0.0.0.0/8 action=drop
IP-Firewall-Filter add chain=forward dst-address=0.0.0.0/8 action=drop
IP-Firewall-Filter add chain=forward src-address=127.0.0.0/8 action=drop
IP-Firewall-Filter add chain=forward dst-address=127.0.0.0/8 action=drop
IP-Firewall-Filter add chain=forward src-address=224.0.0.0/3 action=drop
IP-Firewall-Filter add chain=forward dst-address=224.0.0.0/3 action=drop

Oder:
IP-Firewall-Filter Kette hinzufügen Weiterleitungsprotokoll = UDP-Aktion = Kommentar akzeptieren = „UDP zulassen“
IP-Firewall-Filter Kette hinzufügen Weiterleitungsprotokoll = ICMP-Aktion = Kommentar akzeptieren = „ICMP-Ping zulassen“
Oder:
Für ICMP-, UDP- und TCP-Verkehr erstellen wir Ketten, in denen wir unerwünschte Pakete verwerfen:
Schaffen wir einen Übergang zu neuen Ketten
IP-Firewall-Filter add chain=forward Protocol=tcp action=jump jump-target=tcp
IP-Firewall-Filter hinzufügen Chain=Forward Protocol=UDP Action=Jump Jump-Target=UDP
IP-Firewall-Filter hinzufügen Chain=Forward Protocol=ICMP Action=Jump Jump-Target=ICMP

Lassen Sie uns TCP-Regeln für die TCP-Kette erstellen und einige Ports verweigern:
IP-Firewall-Filter hinzufügen Kette=TCP-Protokoll=TCP DST-Port=69 Aktion=Drop-Kommentar=“TFTP verweigern“
IP-Firewall-Filter hinzufügen Kette=TCP-Protokoll=TCP-DST-Port=111 Aktion=Drop-Kommentar=“RPC-Portmapper verweigern“
IP-Firewall-Filter hinzufügen Kette=TCP-Protokoll=TCP-DST-Port=135 Aktion=Drop-Kommentar=“RPC-Portmapper verweigern“
IP-Firewall-Filter add chain=tcp Protocol=tcp dst-port=137-139 action=drop comment=“NBT verweigern“
IP-Firewall-Filter add chain=tcp Protocol=tcp dst-port=445 action=drop comment=“Cifs verweigern“
IP-Firewall-Filter add chain=tcp Protocol=tcp dst-port=2049 action=drop comment=“NFS verweigern“
IP-Firewall-Filter hinzufügen Kette=TCP-Protokoll=TCP-DST-Port=12345-12346 Aktion=Drop-Kommentar=“NetBus verweigern“
IP-Firewall-Filter hinzufügen Kette=TCP-Protokoll=TCP-DST-Port=20034 Aktion=Drop-Kommentar=“NetBus verweigern“
IP-Firewall-Filter add chain=tcp Protocol=tcp dst-port=3133 action=drop comment=“Deny BackOriffice“
IP-Firewall-Filter hinzufügen Kette=TCP-Protokoll=TCP-DST-Port=67-68 Aktion=Drop-Kommentar=“DHCP verweigern“

Lassen Sie uns UDP-Ports für die UDP-Kette deaktivieren:
IP-Firewall-Filter hinzufügen Kette = UDP-Protokoll = UDP DST-Port = 69 Aktion = Drop-Kommentar = „TFTP verweigern“
IP-Firewall-Filter add chain=udp Protocol=udp dst-port=111 action=drop comment=“PRC-Portmapper verweigern“
IP-Firewall-Filter hinzufügen Kette=UDP-Protokoll=UDP-DST-Port=135 Aktion=Drop-Kommentar=“PRC-Portmapper verweigern“
IP-Firewall-Filter add chain=udp Protocol=udp dst-port=137-139 action=drop comment=“NBT verweigern“
IP-Firewall-Filter add chain=udp Protocol=udp dst-port=2049 action=drop comment=“NFS verweigern“
IP-Firewall-Filter add chain=udp Protocol=udp dst-port=3133 action=drop comment=“Deny BackOriffice“

Lassen wir nur die notwendigen ICMP-Codes für die ICMP-Kette zu:
IP-Firewall-Filter add chain=icmp Protocol=icmp icmp-options=0:0 action=accept comment=»Ungültige Verbindungen löschen»
IP-Firewall-Filter add chain=icmp Protocol=icmp icmp-options=3:0 action=accept comment=“Dllow etablierte Verbindungen“
IP-Firewall-Filter add chain=icmp Protocol=icmp icmp-options=3:1 action=accept comment=»Bereits hergestellte Verbindungen zulassen»
IP-Firewall-Filter hinzufügen Kette=ICMP-Protokoll=ICMP ICMP-Optionen=4:0 Aktion=Akzeptieren Sie den Kommentar=“Quelle löschen zulassen“
IP-Firewall-Filter hinzufügen Kette = ICMP-Protokoll = ICMP ICMP-Optionen = 8:0 Aktion = Kommentar akzeptieren = „Echo-Anfrage zulassen“
IP-Firewall-Filter add chain=icmp Protocol=icmp icmp-options=11:0 action=accept comment="Zeitüberschreitung zulassen"
IP-Firewall-Filter add chain=icmp Protocol=icmp icmp-options=12:0 action=accept comment=“Parameter fehlerhaft zulassen“
IP-Firewall-Filter add chain=icmp action=drop comment=»Alle anderen Typen ablehnen»

Router des Herstellers Mikrotik erfreuen sich aufgrund ihres attraktiven Preises und der reichhaltigen Funktionalität immer größerer Beliebtheit. Vielleicht ist Mikrotik im SOHO-Segment führend. Heute möchten wir über nützliche Konfigurationsoptionen sprechen, die dazu beitragen, die Widerstandsfähigkeit gegen externe Angriffe zu stärken und einen stabilen Betrieb Ihres Büros Mikrotik zu gewährleisten.

Mikrotik-Schutz

1. Administrator-Login und Passwort ändern

Beginnen wir mit dem primären Schutz unseres Routers – der Erstellung eines hacksicheren Administrator-Logins und Passworts. Standardmäßig verwendet Mikrotik die Anmeldung Administrator und ein leeres Passwort. Lassen Sie uns das beheben: Stellen Sie über Winbox eine Verbindung zu unserem Router her und gehen Sie zum Abschnitt „Einstellungen“. System → Benutzer. Wir sehen den Benutzer Administrator was standardmäßig konfiguriert ist:

Fügen wir einen neuen Benutzer hinzu, der über strengere Hacking-Details (Login/Passwort) verfügt. Klicken Sie dazu auf das „+“-Symbol in der oberen linken Ecke:

Bitte beachten Sie, dass Sie im Feld Gruppe auswählen müssen voll um dem Benutzer Administratorrechte zu gewähren. Nachdem die Einstellungen vorgenommen wurden, löschen Sie den Benutzer Administrator und von nun an verwenden wir nur noch den neuen Benutzer, um uns mit der Administrationsoberfläche zu verbinden.

2. Service-Ports

Der Mikrotik-Router hat einige Dienste „fest verdrahtet“, deren Ports über das öffentliche Internet zugänglich sind. Möglicherweise handelt es sich hier um eine Schwachstelle in Ihrem Netzwerk. Wir empfehlen daher, zum Abschnitt „Einstellungen“ zu gehen IP → Dienstleistungen:

Wenn Sie nur über Winbox auf Mikrotik zugreifen, empfehlen wir Ihnen, alle Dienste außer zu deaktivieren Winbox Und ssh(lassen Sie ssh für alle Fälle), nämlich:

• API-SSL
• www-ssl

Zum Ausschalten klicken Sie auf das rote „x“-Symbol. Seit wir gegangen sind SSH Um Zugriff auf den Server zu erhalten, „sichern“ wir ihn, indem wir den Port von 22 auf 6022 ändern. Doppelklicken Sie dazu auf den SSH-Dienst-Port und legen Sie im folgenden Fenster die Einstellung fest:

Klicken Anwenden Und OK.

3. Schutz vor roher Gewalt (Brute Force)

Auf der offiziellen Mikrotik-Website finden Sie Empfehlungen, wie Sie Ihren Router vor Passwort-Brute-Force über FTP- und SSH-Zugriff schützen können. Im vorherigen Schritt haben wir den FTP-Zugriff gesperrt. Wenn Sie diese Anweisungen also genau befolgen, verwenden Sie nur den Code zum Schutz vor SSH-Angriffen. Andernfalls kopieren Sie beide. Öffnen Sie also das Router-Verwaltungsterminal. Klicken Sie dazu im rechten Navigationsmenü auf Neues Terminal. Kopieren Sie den folgenden Code nacheinander in die Router-Konsole:

/IP-Firewallfilter #FTP-Angriffe blockieren add chain=input Protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept Protocol=tcp content ="530 Anmeldung falsch" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list Protocol=tcp content="530 Anmeldung falsch" \ Adressliste =ftp_blacklist address-list-timeout=3h #Angriffe über SSH blockieren add chain=input Protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" deaktiviert=keine Kette hinzufügen =Eingabeprotokoll=TCP DST-Port=22 Verbindungsstatus=Neu \ src-address-list=ssh_stage3 action=add-src-to-address-list Adressliste=ssh_blacklist \ Adressliste-Timeout=10d Kommentar= " " deaktiviert=keine Kette hinzufügen=Eingabeprotokoll=TCP DST-Port=22 Verbindungsstatus=neu \ src-address-list=ssh_stage2 action=add-src-to-address-list Adressliste=ssh_stage3 \ Adressliste - timeout=1m comment="" deaktiviert=keine Kette hinzufügen=Eingabeprotokoll=TCP dst-port=22 Verbindungsstatus=neue src-address-list=ssh_stage1 \ action=add-src-to-address-list Adressliste = ssh_stage2 address-list-timeout=1m comment="" deaktiviert=nein add chain=input Protocol=tcp dst-port=22 Connection-State=new action=add-src-to-address-list \ address-list=ssh_stage1 Adresse -list-timeout=1m comment="" deaktiviert=nein

Erstellen einer Konfigurationssicherung

Im Falle eines Ausfalls oder Unfalls des Routers müssen Sie für eine schnelle Wiederherstellung seine Konfiguration zur Hand haben. Das geht ganz einfach: Öffnen Sie das Terminal, indem Sie auf das Navigationsmenü klicken Neues Terminal und geben Sie den folgenden Befehl ein:

Datei exportieren=backup2020-02-10_01:01:22

Die Datei finden Sie, indem Sie im Navigationsmenü auf den entsprechenden Abschnitt klicken Dateien. Laden Sie es auf Ihren PC herunter, indem Sie mit der rechten Maustaste klicken und auswählen Herunterladen

Blockieren des Zugriffs auf die Website

Während der Arbeitszeit müssen die Arbeitnehmer arbeiten. Blockieren wir daher den Zugriff auf Unterhaltungsressourcen wie Youtube, Facebook und Vkontakte. Gehen Sie dazu zum Abschnitt IP → Firewall. Klicken Sie auf die Registerkarte Layer-7-Protokoll und klicken Sie dann auf das „+“-Symbol in der oberen linken Ecke:

Wir geben unserer Regel einen Namen, die auf Ebene 7 des OSI-Modells arbeiten wird, und fügen im Abschnitt Regexp Folgendes hinzu:

^.+(youtube.com|facebook.com|vk.com).*$

Klicken OK und gehen Sie zur Registerkarte Filterregeln und klicken Sie auf das „+“-Symbol:

Wählen Sie im Abschnitt „Kette“ die Option „Weiter“ aus. Gehen Sie im selben Fenster zur Registerkarte Fortschrittlich und wählen Sie im Feld Layer 7-Protokoll die von uns erstellte Blockierungsregel aus:

Gehen Sie zur Registerkarte Aktion, und wählen Sie dort Action = Drop:

Wenn die Einstellungen abgeschlossen sind, klicken Sie auf Anwenden Und OK.

War dieser Artikel für Sie nützlich?

Bitte erzähle mir warum?

Es tut uns leid, dass der Artikel für Sie nicht nützlich war: (Wenn es nicht schwierig ist, geben Sie bitte an, warum? Für eine ausführliche Antwort sind wir Ihnen sehr dankbar. Vielen Dank, dass Sie uns dabei geholfen haben, besser zu werden!

Von Brute-Force spricht man, wenn jemand manchmal lange und hart versucht, unser Passwort für irgendetwas mit Brute-Force zu erraten. Unter Linux wird fail2ban erfolgreich zum Schutz davor eingesetzt. Bei Mikrotik gibt es kein solches Vergnügen, daher werden wir das Vergnügen haben, mit unseren eigenen Händen einen Schutz gegen Brutalität zu schaffen.

Vollständige Befehlsliste, die Sie wahrscheinlich im offiziellen Wiki gesehen haben (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention):

add chain=input Protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" deaktiviert=nein
add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " deaktiviert=nein
add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " deaktiviert=nein
add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " deaktiviert=nein
add chain=input Protocol=tcp dst-port=22 Connection-State=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" deaktiviert=nein

Und es gibt viele Stellen im Internet, wo dieses Set erhältlich ist. Ich werde nur ein wenig erklären, was es bewirkt.

Die Idee ist folgende: Wir geben innerhalb kurzer Zeit drei legitime Versuche, eine Verbindung über SSH herzustellen (22/tcp, wenn Sie einen anderen Port haben, verwenden Sie Ihren eigenen). Beim vierten Versuch sperren wir Sie für 10 Tage. Wir haben das Recht. Also Schritt für Schritt.

1. Beim Aufbau einer neuen Verbindung (connection-state=new) mit Port 22/tcp merken wir uns die Quell-IP und platzieren sie für 1 Minute in der Liste „ssh_stage1“:

add chain=input Protocol=tcp dst-port=22 Connection-State=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" deaktiviert=nein

2. Wenn dieser „Jemand“ (und wir erinnern uns an ihn in „ssh_stage1“) in dieser Minute noch einmal eine neue Verbindung mit 22/tcp aufbauen möchte, werden wir ihn zur Liste „ssh_stage2“ hinzufügen und außerdem für 1 Minute:

add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " deaktiviert=nein

3. Wenn sich dieser „Jemand“ (jetzt ist er in „ssh_stage2“) in dieser Minute erneut mit 22/tcp verbinden möchte, fügen wir ihn zur Liste „ssh_stage3“ hinzu (ja, Sie haben es erraten, wieder für 1 Minute):

add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " deaktiviert=nein

4. Wenn er hartnäckig ist, dann werden wir ihn für 10 Tage zu unserer „schwarzen Liste“ „ssh_blacklist“ hinzufügen, denn das spielt keine Rolle.

add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " deaktiviert=nein

5. Und mit diesem Befehl verbannen wir ohne jeden Zweifel jeden von der „ssh_blacklist“-Liste (beachten Sie, dass die Regel standardmäßig inaktiv ist):

add chain=input Protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers"disabled=yes

Als ich in Wirklichkeit ein solches Schema erstellte und versuchte, von der Linux-Konsole aus eine Verbindung zur externen IP meines Mikrotik herzustellen, wurde die „Angreifer“-IP bereits beim zweiten Versuch (und nicht beim dritten oder vierten) in die „ssh_blacklist“ aufgenommen " Liste. Ich verwende kein SSH für Mikrotik, daher ist es in meinem Fall nicht fatal, aber wenn man tatsächlich so eine Remote-Verbindung herstellt, dann Zunächst könnte es eine gute Idee sein, die Sperrregel nicht zu aktivieren (deaktiviert=ja).. Lassen Sie sie auf die Liste kommen, ohne dass Fragen gestellt werden. Schätzen Sie in der Praxis ab, wie oft Sie sich hintereinander verbinden müssen, bevor Sie auf die Verbotsliste gelangen. Aktivieren Sie nach Überprüfung die Sperrregel gemäß der Liste „ssh_blacklist“! Es tut mir leid, dass die Befehle lang sind, aber der Parser frisst den Backslash, sodass er in einer Zeile endet.