Mikrotik - روتر، روتر، نقطه دسترسی.

چگونه میکروتیک را راه اندازی کنیم؟ چگونه از میکروتیک در برابر نفوذ دشمن از خارج محافظت کنیم؟
راه اندازی اولیه روتر میکروتیک (روتر). حفاظت اولیه میکروتیک

برای محافظت از روتر میکروتیک خود باید موارد زیر را انجام دهید:
1. رمز عبور مدیر را تغییر دهید.
2. خدمات غیر ضروری و استفاده نشده را غیرفعال کنید.
3. NAT را فعال کنید
4. فایروال را پیکربندی کنید - فیلترینگ و عبور بسته را سازماندهی کنید.

P.S. پس از تنظیم دستور، R، - روتر تمام تنظیمات را پاک می کند، اما رمزهای عبور را پاک نمی کند، می توانید از طریق WinBox از طریق IP به آن متصل شوید - 192.168.88.1

تنظیمات از کنسول:
نام مدیر، پسورد خالی
اگر رمز عبور خود را فراموش کردید، تنها چیزی که شما را نجات می دهد، تنظیم مجدد کامل است - نصب مجدد روتر!
تغییر رمز عبور:
> کاربر ویرایش رمز عبور مدیریت
ویرایشگر باز می شود، وارد شوید رمز عبور جدید. برای ذخیره و خروج، Ctrl+o (کنترل و حرف o را همزمان فشار دهید)
شما می توانید یک کاربر جدید اضافه کنید، فقط در مورد:
>از add name=mkt password=12345 group=full استفاده کنید

بیایید ببینیم چه رابط هایی وجود دارد:
> چاپ رابط


0 X ;;; WAN
اتر1 اتر 1500 1600 1600
1 X ;;; LAN
اتر2 اتر 1500 1600 1600

موارد مورد نیاز خود را فعال کنید:
> فعال کردن رابط 0
> فعال کردن رابط 1
> چاپ رابط
پرچم ها: D - پویا، X - غیرفعال، R - در حال اجرا، S - برده
# نام نوع MTU L2MTU MAX-L2MTU
0 R ;;; WAN
اتر1 اتر 1500 1600 1600
1 R ;;; LAN
اتر2 اتر 1500 1600 1600

بیایید به IP نگاه کنیم:
> چاپ آدرس IP
به عنوان مثال، پارامترهای زیر را در نظر بگیرید:
ارائه دهنده (اینترنت) - 195.196.10.50
GW (دروازه) - 195.196.10.49
سرور DNS - 195.196.11.10، 195.196.12،10
شبکه محلی (داخلی) - 192.168.18.0/24
یک ارائه دهنده IP اضافه کنید:
> آدرس IP افزودن آدرس=195.196.10.10/30 interface=ether1
اضافه کردن محلی:
> آدرس IP افزودن آدرس=192.168.18.0/24 interface=ether2
ببینیم چی شد:
> چاپ آدرس IP
یک دروازه Provo اضافه کنید:
> ip route add gateway=195.196.10.49
بیایید نگاه بیندازیم:
> چاپ مسیر آی پی

DNS ارائه دهنده اینترنت را اضافه کنید:
> ip dns set servers=195.196.11.10,195.196.12,10 allow-remote-request=yes

فعال کردن NAT (بالماسکه):
> فایروال IP nat add chain=srcnat action=masquerade out-interface=ether1
پس از انجام این تنظیمات، شبکه داخلی به اینترنت دسترسی خواهد داشت.

فایروال را پیکربندی کنید، یعنی لازم است فیلتر بسته ها (زنجیره های ورودی) سازماندهی شود، و طبیعتاً، به طوری که پس از محافظت شبکه شما بتواند کار کند - برای سازماندهی عبور بسته ها - اینها زنجیره های رو به جلو هستند:

P.S ابتدا از طریق WinBox - IP -> Firewall -> Service Port - همه چیز را غیرفعال کنید، آنچه لازم است را بگذارید، یعنی در مورد ما pptp (سرور VPN) و اگر می خواهید از FTP داخلی - ftp استفاده کنید.

اضافه کردن قوانین:
فیلتر فایروال ip add chain=input connection-state=invalid action=drop comment="قطع اتصالات نامعتبر"
فیلتر فایروال آی پی افزودن زنجیره = ورودی اتصال-وضعیت=عملیات تاسیس=پذیرش نظر="اجازه اتصالات ایجاد شده"
فیلتر فایروال ip add chain=input protocol=udp action=accept comment="Allow UDP"
فیلتر فایروال ip add chain=input protocol=icmp action=accept comment="Allow ICMP"
فیلتر فایروال ip add chain=input src-address=192.168.0.0/24 action=accept comment=”اجازه دسترسی از شبکه محلی”
دو قانون بعدی این است که اگر می خواهید از طریق Mikrotik خود به شبکه داخلی خود از طریق VPN (سرور pptp) دسترسی داشته باشید.
اولی پورت 1723 را باز می کند، دومی پروتکل 47 (GRE) را اجازه می دهد.
فیلتر فایروال آی پی افزودن زنجیره = اقدام ورودی = پذیرش پروتکل = tcp dst-port = 1723 نظر = "اجازه دسترسی به VPN"
فیلتر فایروال IP افزودن زنجیره = عمل ورودی = پذیرش پروتکل = نظر gre = "اگر VPN (سرور pptp) دارید"
قانون زیر به شما امکان می دهد از طریق WinBox (درگاه پیش فرض 8291) به Mikrotik خود متصل شوید.
P.S طبیعتاً باید IP "IP Service LIST" -> Services -> IP Service List را پیکربندی کنید، روی خط winbox کلیک کنید، پنجره ویرایش داده ها باز می شود -> IP را به IP که از آن متصل می شوید تغییر دهید. همین کار را باید با SSH و WWW انجام دهید، تمام خدمات دیگر را غیرفعال کنید - غیرفعال کنید. (ip_address_allow - IP شما)
فیلتر فایروال ip add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=8291 comment=”اجازه دسترسی از طریق WinBox”
فیلتر فایروال ip add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=22 comment="اجازه دسترسی از طریق SSH"
فیلتر فایروال ip add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=80 comment="اجازه دسترسی از طریق WWW"
اگر می خواهید از FTP داخلی استفاده کنید:
فیلتر فایروال ip add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=21 comment=”Allow access to FTP”
بقیه چیزها را خرد می کنیم:
فیلتر فایروال ip add chain=input action=drop comment="رد کردن همه موارد دیگر"

برای محافظت از شبکه خود، باید تمام ترافیک عبوری را بررسی کنید
روتر و مسدود کردن موارد ناخواسته

فیلتر فایروال ip add chain=protocol forward=tcp connection-state=invalid action=drop comment=”Drop invalid connections”
فیلتر فایروال آی پی افزودن زنجیره = ارتباط به جلو - حالت = اقدام ایجاد شده = پذیرش نظر = "اجازه اتصالات از قبل ایجاد شده"
فیلتر فایروال آی پی افزودن زنجیره=پیشرفت اتصال-وضع=عملیات مرتبط=پذیرش نظر="اجازه اتصالات مرتبط"
در هر صورت، ما اجازه عبور از پروتکل GRE را می دهیم:
فیلتر فایروال ip add chain=protocol forward=gre action=accept comment="Allow GRE"
اگر سرور VPN دارید، به پورت 3389 اجازه دهید RDP (Remote Desktop) را اجرا کند.
فیلتر فایروال ip add chain=protocol forward=tcp dst-port=3389 action=accept comment=”Allow 3389″

ما آدرس های IP شبکه های داخلی را مسدود می کنیم.
فیلتر فایروال ip add chain=forward src-address=0.0.0.0/8 action=drop
فیلتر فایروال ip add chain=forward dst-address=0.0.0.0/8 action=drop
فیلتر فایروال ip add chain=forward src-address=127.0.0.0/8 action=drop
فیلتر فایروال ip add chain=forward dst-address=127.0.0.0/8 action=drop
فیلتر فایروال ip add chain=forward src-address=224.0.0.0/3 action=drop
فیلتر فایروال ip add chain=forward dst-address=224.0.0.0/3 action=drop

یا:
فیلتر فایروال آی پی افزودن زنجیره رو به جلو پروتکل=udp action=accept comment="Allow UDP"
فیلتر فایروال ip add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"
یا:
برای ترافیک icmp، udp و tcp، ما زنجیره هایی ایجاد می کنیم که در آن بسته های ناخواسته را رها می کنیم:
بیایید یک انتقال به زنجیره های جدید ایجاد کنیم
فیلتر فایروال آی پی افزودن زنجیره = پروتکل رو به جلو = عمل tcp = پرش پرش - هدف = tcp
فیلتر فایروال آی پی افزودن زنجیره = پروتکل رو به جلو = عمل udp = پرش jump-target = udp
فیلتر فایروال آی پی افزودن زنجیره = پروتکل رو به جلو = اقدام icmp = پرش jump-target = icmp

بیایید قوانین tcp را برای زنجیره tcp ایجاد کنیم و برخی از پورت ها را رد کنیم:
فیلتر فایروال IP افزودن زنجیره = پروتکل tcp = tcp dst-port = 69 اقدام = رها کردن نظر = "انکار TFTP"
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=111 action=drop comment=”Deny RPC portmapper”
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=135 action=drop comment=”Deny RPC portmapper”
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”Deny NBT”
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=445 action=drop comment=”Deny Cifs”
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”Deny NFS”
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”Deny NetBus”
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”Deny NetBus”
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”Deny BackOriffice”
فیلتر فایروال ip add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”Deny DHCP”

بیایید پورت های udp را برای زنجیره udp غیرفعال کنیم:
فیلتر فایروال ip add chain=udp protocol=udp dst-port=69 action=drop comment=”Deny TFTP”
فیلتر فایروال آی پی افزودن زنجیره = پروتکل udp = udp dst-port = 111 action = رها کردن کامنت = "Dny PRC portmapper"
فیلتر فایروال ip add chain=udp protocol=udp dst-port=135 action=drop comment=”Deny PRC portmapper”
فیلتر فایروال ip add chain=udp protocol=udp dst-port=137-139 action=drop comment=”Deny NBT”
فیلتر فایروال ip add chain=udp protocol=udp dst-port=2049 action=drop comment=”Deny NFS”
فیلتر فایروال ip add chain=udp protocol=udp dst-port=3133 action=drop comment=”Deny BackOriffice”

اجازه دهید فقط کدهای icmp لازم برای زنجیره icmp را مجاز کنیم:
فیلتر فایروال ip add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment=»رها کردن اتصالات نامعتبر»
فیلتر فایروال آی پی افزودن زنجیره = پروتکل icmp = icmp icmp-options = 3:0 اقدام = پذیرش نظر = "کاهش اتصالات ایجاد شده"
فیلتر فایروال IP افزودن زنجیره = پروتکل icmp = icmp icmp-options = 3:1 اقدام = پذیرش نظر = »اجازه اتصالات از قبل ایجاد شده»
فیلتر فایروال IP افزودن زنجیره = پروتکل icmp = icmp icmp-options = 4:0 اقدام = پذیرش نظر = "اجازه خاموش کردن منبع"
فیلتر فایروال IP افزودن زنجیره = پروتکل icmp = icmp icmp-options = 8:0 اقدام = پذیرش نظر = "اجازه درخواست اکو"
فیلتر فایروال ip add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="اجازه زمان بیش از حد"
فیلتر فایروال IP افزودن زنجیره = پروتکل icmp = icmp icmp-options = 12:0 اقدام = پذیرش نظر = "اجازه بد بودن پارامتر"
فیلتر فایروال آی پی افزودن زنجیره = icmp اقدام = رها کردن نظر = »انکار همه انواع دیگر »

روترهای سازنده Mikrotik به دلیل قیمت جذاب و عملکرد غنی آنها به طور فزاینده ای محبوب می شوند. شاید در بخش SOHO، Mikrotik رهبر باشد. امروز می خواهیم در مورد گزینه های پیکربندی مفیدی صحبت کنیم که به تقویت مقاومت در برابر حملات خارجی و تضمین عملکرد پایدار برای دفتر Mikrotik شما کمک می کند.

محافظ میکروتیک

1. تغییر ورود و رمز عبور مدیر

بیایید با حفاظت اولیه روتر خود شروع کنیم - ایجاد یک ورود و رمز عبور مدیر مقاوم در برابر هک. به طور پیش فرض، میکروتیک از ورود استفاده می کند مدیرو یک رمز عبور خالی بیایید این را برطرف کنیم: از طریق Winbox به روتر خود متصل شوید و به بخش تنظیمات بروید سیستم → کاربران. کاربر را می بینیم مدیرکه به صورت پیش فرض پیکربندی شده است:

بیایید یک کاربر جدید اضافه کنیم که جزئیات هک دقیق تری (ورود به سیستم/رمز عبور) خواهد داشت. برای انجام این کار، روی نماد "+" در گوشه سمت چپ بالا کلیک کنید:

لطفا توجه داشته باشید که در قسمت Group باید انتخاب کنید پر شدهبرای اعطای امتیازات اداری به کاربر. پس از انجام تنظیمات، کاربر را حذف کنید مدیرو از این به بعد فقط از کاربر جدید برای اتصال به رابط مدیریت استفاده می کنیم.

2. پورت های سرویس

روتر میکروتیک برخی از سرویس‌هایی را که پورت‌های آن‌ها از طریق اینترنت عمومی قابل دسترسی است، «سیم سخت» کرده است. به طور بالقوه، این یک آسیب پذیری برای مدار شبکه شما است. بنابراین پیشنهاد می کنیم به قسمت تنظیمات بروید IP → خدمات:

اگر فقط از طریق Winbox به میکروتیک دسترسی دارید، پیشنهاد می کنیم همه سرویس ها را غیر فعال کنید winboxو ssh(در هر صورت ssh را ترک کنید)، یعنی:

• api-ssl
• www-ssl

برای خاموش کردن، روی نماد قرمز "x" کلیک کنید. از وقتی رفتیم SSHدسترسی به سرور، بیایید با تغییر پورت از 22 به 6022 آن را "ایمن" کنیم. برای این کار، روی پورت سرویس SSH دوبار کلیک کنید و تنظیمات را در پنجره باز شده مشخص کنید:

کلیک درخواست دادنو خوب.

3. محافظت در برابر نیروی brute force

در وب سایت رسمی Mikrotik توصیه هایی در مورد نحوه محافظت از روتر خود از طریق دسترسی FTP و SSH وجود دارد. در مرحله قبل، دسترسی FTP را بسته ایم، بنابراین اگر این دستورالعمل ها را به شدت دنبال می کنید، فقط از کد برای محافظت در برابر حملات SSH استفاده کنید. در غیر این صورت هر دو را کپی کنید. بنابراین، ترمینال مدیریت روتر را باز کنید. برای انجام این کار، در منوی ناوبری سمت راست، کلیک کنید ترمینال جدید. کد زیر را به صورت متوالی در کنسول روتر کپی کنید:

/فیلتر فایروال IP #مسدود کردن حملات FTP افزودن chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content ="530 ورود اشتباه است" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530login incorrect" \ address- list =ftp_blacklist address-list-timeout=3h #مسدود کردن حملات از طریق SSH add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" disabled=no add chain =پروتکل ورودی=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment= " disabled=عدم افزودن زنجیره=پروتکل ورودی=tcp dst-port=22 اتصال-وضعیت=جدید \ src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \ آدرس-list - timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list = ssh_stage2 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 address -list-timeout=1m comment="" disabled=no

ایجاد پشتیبان پیکربندی

در صورت خرابی یا تصادف روتر، باید پیکربندی آن را برای بازیابی سریع در دسترس داشته باشید. انجام این کار بسیار ساده است: ترمینال را با کلیک کردن در منوی پیمایش باز کنید ترمینال جدیدو دستور زیر را مشخص کنید:

صادرات فایل=پشتیبان2020-02-10_01:01:22

فایل را می توان با کلیک بر روی بخش در منوی پیمایش پیدا کرد فایل ها. با کلیک راست و انتخاب آن را در کامپیوتر خود دانلود کنید دانلود

مسدود کردن دسترسی به سایت

در ساعات کاری، کارکنان باید کار کنند. بنابراین، اجازه دهید دسترسی به منابع سرگرمی مانند یوتیوب، فیس بوک و Vkontakte را مسدود کنیم. برای این کار به بخش مراجعه کنید IP → دیواره آتش. روی تب کلیک کنید پروتکل لایه 7و سپس بر روی نماد "+" در گوشه سمت چپ بالا کلیک کنید:

ما یک نام به قانون خود می دهیم که در سطح 7 مدل OSI عمل می کند و در بخش Regexp اضافه می کنیم:

^.+(youtube.com|facebook.com|vk.com).*$

کلیک خوبو به برگه بروید قوانین فیلترو روی نماد "+" کلیک کنید:

در قسمت Chain گزینه Forward را انتخاب کنید. در همان پنجره، به تب بروید پیشرفتهو در قسمت Layer 7 Protocol قانون مسدودسازی که ایجاد کردیم را انتخاب کنید:

به برگه بروید عملو در آنجا Action = Drop را انتخاب کنید:

وقتی تنظیمات کامل شد، کلیک کنید درخواست دادنو خوب.

آیا این مقاله برای شما مفید بود؟

لطفا به من بگو چرا؟

متاسفیم که مقاله برای شما مفید نبود: (لطفاً اگر مشکل نیست دلیل آن را ذکر کنید؟ برای پاسخ دقیق بسیار سپاسگزار خواهیم بود. از اینکه ما را در بهتر شدن یاری کردید متشکرم!

خشونت بی رحم زمانی است که شخصی سعی می کند، گاهی اوقات طولانی و سخت، رمز عبور ما را برای هر چیزی با استفاده از زور وحشیانه حدس بزند. در لینوکس، fail2ban با موفقیت برای محافظت در برابر این مورد استفاده می شود. چنین لذتی در میکروتیک وجود ندارد، بنابراین ما لذت ایجاد محافظت در برابر brutforce را با دستان خود خواهیم داشت.

فهرست کامل دستورات، که احتمالاً در ویکی رسمی (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention) دیده‌اید:

افزودن chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
افزودن زنجیره=پروتکل ورودی=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " غیر فعال = خیر
افزودن زنجیره=پروتکل ورودی=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " غیر فعال = خیر
افزودن زنجیره=پروتکل ورودی=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " غیر فعال = خیر
افزودن chain=پروتکل ورودی=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

و مکان های زیادی در اینترنت وجود دارد که این مجموعه در آنها موجود است. من فقط کمی توضیح می دهم که چه کاری انجام می دهد.

ایده این است: ما در مدت کوتاهی سه تلاش قانونی برای اتصال از طریق ssh انجام می دهیم (22/tcp، اگر پورت دیگری دارید، از پورت خود استفاده کنید). در تلاش چهارم، ما شما را به مدت 10 روز محروم می کنیم. ما حق داریم. پس قدم به قدم

1. هنگام ایجاد یک اتصال جدید (connection-state=new) با پورت 22/tcp، IP منبع را به خاطر می آوریم و آن را به مدت 1 دقیقه در لیست "ssh_stage1" قرار می دهیم:

افزودن chain=پروتکل ورودی=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

2. اگر در طول این دقیقه این "کسی" (و ما او را در "ssh_stage1" به یاد می آوریم) یک بار دیگر بخواهد یک ارتباط جدید با 22/tcp برقرار کند، او را به لیست "ssh_stage2" اضافه می کنیم، و همچنین برای 1 دقیقه:

افزودن زنجیره=پروتکل ورودی=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " غیر فعال = خیر

3. اگر در طول این دقیقه این "کسی" (اکنون در "ssh_stage2" است) دوباره بخواهد به 22/tcp متصل شود، او را به لیست "ssh_stage3" اضافه می کنیم (بله، درست حدس زدید، دوباره برای 1 دقیقه):

افزودن زنجیره=پروتکل ورودی=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " غیر فعال = خیر

4. اگر او پیگیر است، پس خوب، ما او را به مدت 10 روز به "لیست سیاه" "ssh_blacklist" خود اضافه می کنیم، زیرا مهم نیست.

افزودن زنجیره=پروتکل ورودی=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " غیر فعال = خیر

5. و با این دستور همه را بدون هیچ شکی از لیست ssh_blacklist محروم می کنیم (توجه داشته باشید که قانون به طور پیش فرض غیرفعال است):

افزودن chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=yes

در واقع، زمانی که من چنین طرحی را ساختم و سعی کردم از کنسول لینوکس به ip خارجی میکروتیک خود وصل شوم، قبلاً در تلاش دوم (و نه در سومین یا چهارمین بار) آی پی "مهاجم" در لیست "ssh_blacklist" قرار گرفت. ” لیست من از ssh برای Mikrotik استفاده نمی کنم، بنابراین در مورد من کشنده نیست، اما اگر واقعاً از راه دور به این شکل وصل می شوید، پس در ابتدا ممکن است ایده خوبی باشد که قانون ممنوعیت را فعال نکنید (غیرفعال = بله). اجازه دهید در لیست قرار گیرند، بدون سوال. در عمل تخمین بزنید که چند بار باید پشت سر هم وصل شوید قبل از اینکه در لیست ممنوعیت قرار بگیرید. پس از بررسی ها، قانون ممنوعیت را طبق لیست "ssh_blacklist" فعال کنید!من عذرخواهی می کنم که دستورات طولانی هستند، اما تجزیه کننده بک اسلش را می خورد، بنابراین در یک خط تمام می شود.