Mikrotik - router, router, kirish nuqtasi.

Mikrotikni qanday sozlash kerak? Mikrotikni tashqi tomondan dushman hujumlaridan qanday himoya qilish kerak?
Mikrotik router (router) ni dastlabki sozlash. Mikrotikning dastlabki himoyasi.

Mikrotik routeringizni himoya qilish uchun sizga kerak:
1. Administrator parolini o'zgartiring.
2. Keraksiz, foydalanilmagan xizmatlarni o'chirib qo'ying.
3. NAT ni yoqing
4. Faervolni sozlash - filtrlash va paketlar o'tishini tashkil qilish.

P.S. buyruqni o'rnatgandan so'ng, R, - router barcha sozlamalarni o'chirib tashlaydi, lekin parollarni emas, siz unga WinBox orqali IP orqali ulanishingiz mumkin - 192.168.88.1

Konsoldan sozlamalar:
admin nomi, parol bo'sh.
Agar siz parolingizni unutib qo'ysangiz, sizni qutqaradigan yagona narsa to'liq qayta o'rnatish - routerni qayta o'rnatish!
Parolni o'zgartirish:
>foydalanuvchi admin parolini tahrirlash
Tahrirlovchi ochiladi, kiriting Yangi parol. Saqlash va chiqish uchun Ctrl+o tugmalarini bosing (bir vaqtning o'zida boshqaruv va o harfi)
Quyidagi hollarda yangi foydalanuvchi qo'shishingiz mumkin:
>ad qo'shishdan foydalaning = mkt parol = 12345 guruh = to'liq

Keling, qanday interfeyslar mavjudligini ko'rib chiqaylik:
>interfeysni chop etish


0 X ;;; WAN
efir1 efir 1500 1600 1600
1 X ;;; LAN
efir2 efir 1500 1600 1600

Sizga kerak bo'lganlarni faollashtiring:
>interfeysni yoqish 0
>interfeysni yoqish 1
>interfeysni chop etish
Bayroqlar: D - dinamik, X - o'chirilgan, R - ishlaydigan, S - qul
# NOMI TURI MTU L2MTU MAX-L2MTU
0 R ;;; WAN
efir1 efir 1500 1600 1600
1 R ;;; LAN
efir2 efir 1500 1600 1600

Keling, IP-ni ko'rib chiqaylik:
> IP manzilini chop etish
Masalan, quyidagi parametrlarni oling:
Provayder (Internet) - 195.196.10.50
GW (shlyuz) - 195.196.10.49
DNS server - 195.196.11.10, 195.196.12,10
Mahalliy tarmoq (ichki) - 192.168.18.0/24
IP-provayderni qo'shing:
>ip manzil qo'shish manzili = 195.196.10.10/30 interfeysi = efir1
Mahalliy qo'shing:
>ip manzil qo'shish manzili = 192.168.18.0/24 interfeysi = efir2
Keling, nima bo'lganini ko'rib chiqaylik:
> IP manzilini chop etish
Provo shlyuzini qo'shing:
> ip marshrutni qo'shish shlyuzi = 195.196.10.49
Keling, qaraylik:
> ip marshrutni chop etish

Internet-provayderning DNS-ni qo'shing:
> IP DNS serverlari to'plami = 195.196.11.10,195.196.12,10 ruxsat-remote-request=ha

NAT (maskarad) ni yoqing:
> IP xavfsizlik devori nat qo'shish zanjiri=srcnat action=masquerade out-interface=ether1
Ushbu sozlamalardan so'ng ichki tarmoq Internetga kirish imkoniyatiga ega bo'ladi.

Xavfsizlik devorini sozlash, ya'ni. paketlarni filtrlashni (kirish zanjirlari) tashkil qilish kerak va tabiiyki, sizning tarmog'ingiz himoyalangandan keyin ishlashi uchun - paketlarning o'tishini tashkil qilish uchun - bu oldinga siljishlar:

P.S Birinchidan, WinBox orqali o'ting - IP -> Xavfsizlik devori -> Xizmat porti - hamma narsani o'chirib qo'ying O'chirib qo'ying, kerakli narsani qoldiring, ya'ni bizning holatda pptp (VPN server) va agar siz o'rnatilgan FTP dan foydalanmoqchi bo'lsangiz - ftp

Qo'shimcha qoidalar:
IP xavfsizlik devori filtri qo'shish zanjiri = kirish ulanish holati = noto'g'ri harakat = izoh qoldirmoq = "Yaroqsiz ulanishlarni o'chirish"
IP xavfsizlik devori filtri qo'shish zanjiri = kirish ulanish holati = o'rnatilgan harakat = sharhni qabul qilish = "O'rnatilgan ulanishlarga ruxsat berish"
IP xavfsizlik devori filtri zanjirni qo'shish = kirish protokoli = udp harakati = sharhni qabul qilish = "UDPga ruxsat berish"
IP xavfsizlik devori filtrini qo'shish zanjiri = kirish protokoli = icmp harakati = sharhni qabul qilish = "ICMPga ruxsat berish"
IP xavfsizlik devori filtri qo'shish zanjiri = kirish src-manzil = 192.168.0.0/24 action = sharhni qabul qilish = "Mahalliy tarmoqdan kirishga ruxsat berish"
Keyingi ikkita qoida, agar siz Mikrotik orqali ichki tarmoqqa VPN (pptp server) orqali kirishni sozlashni xohlasangiz.
Birinchisi 1723-portni ochadi, ikkinchisi 47-protokolga (GRE) ruxsat beradi.
IP xavfsizlik devori filtri qo'shish zanjiri=kiritish harakati=protokolni qabul qilish=tcp dst-port=1723 comment="VPNga kirishga ruxsat berish"
IP xavfsizlik devori filtri qo'shish zanjiri = kirish harakati = qabul qilish protokoli = gre comment = "Agar sizda VPN (pptp server) bo'lsa"
Quyidagi qoida Mikrotik-ga WinBox orqali ulanish imkonini beradi (standart port 8291)
P.S. Tabiiyki, siz "IP xizmatlar ro'yxati" ni sozlashingiz kerak IP -> Xizmatlar -> IP Xizmatlar ro'yxati, winbox qatoriga bosing, ma'lumotlarni tahrirlash oynasi ochiladi -> IP-ni ulanadigan IP-ga o'zgartiring, SSH va WWW bilan ham xuddi shunday qilish kerak, boshqa barcha xizmatlarni o'chirib qo'ying - o'chirib qo'ying. (ip_address_allow - sizning IP)
IP xavfsizlik devori filtri qo'shish zanjiri = kiritish harakati = protokolni qabul qilish = tcp src-address = ip_address_allow dst-port = 8291 comment = "WinBox orqali kirishga ruxsat berish"
IP xavfsizlik devori filtri zanjir qo'shish=kiritish harakati=protokolni qabul qilish=tcp src-address=ip_address_allow dst-port=22 comment="SSH orqali kirishga ruxsat berish"
IP xavfsizlik devori filtri zanjirni qo'shish=kirish harakati=protokolni qabul qilish=tcp src-address=ip_address_allow dst-port=80 comment="WWW orqali kirishga ruxsat berish"
Agar siz o'rnatilgan FTP dan foydalanmoqchi bo'lsangiz:
IP xavfsizlik devori filtri zanjirni qo'shish=kiritish harakati=protokolni qabul qilish=tcp src-address=ip_address_allow dst-port=21 comment=“FTP ga kirishga ruxsat berish”
Biz hamma narsani maydalaymiz:
IP xavfsizlik devori filtri zanjirni qo'shish=kiritish harakati=sharhni qoldirish="Boshqalarini rad etish"

Tarmoqingizni himoya qilish uchun siz o'tadigan barcha trafikni tekshirishingiz kerak
router va keraksizlarni blokirovka qiling.

IP xavfsizlik devori filtrini qo'shish zanjiri = oldinga o'tish protokoli = tcp ulanish holati = noto'g'ri harakat = sharhni o'chirish = "Yaroqsiz ulanishlarni o'chirish"
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga ulanish holati = o'rnatilgan harakat = sharhni qabul qilish = "O'rnatilgan ulanishlarga ruxsat berish"
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga ulanish holati = bog'liq harakat = sharhni qabul qilish = "Tegishli ulanishlarga ruxsat berish"
Har holda, biz GRE protokolidan o'tishga ruxsat beramiz:
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga o'tish protokoli = gre action = sharhni qabul qilish = "GREga ruxsat berish"
Agar sizda VPN serveringiz bo'lsa, 3389 portiga RDP (Remote Desktop) ishga tushishiga ruxsat bering.
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga o'tish protokoli = tcp dst-port = 3389 action = sharhni qabul qilish = "Ruxsat berish 3389"

Biz ichki tarmoqlarning IP manzillarini bloklaymiz.
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga src-manzil = 0.0.0.0/8 action = tushirish
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga dst-manzil = 0.0.0.0/8 action = tushirish
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga src-manzil = 127.0.0.0/8 action = tushirish
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga dst-manzil = 127.0.0.0/8 action = tushirish
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga src-manzil = 224.0.0.0/3 action = tushirish
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga dst-manzil = 224.0.0.0/3 action = tushirish

Yoki:
IP xavfsizlik devori filtri zanjirni oldinga siljitish protokoli = udp action = izohni qabul qilish = "UDPga ruxsat berish"
IP xavfsizlik devori filtri zanjirni oldinga siljitish protokolini qo'shish = icmp action = izohni qabul qilish = "ICMP Pingga ruxsat berish"
Yoki:
Icmp, udp va tcp trafiklari uchun biz keraksiz paketlarni tashlab yuboradigan zanjirlarni yaratamiz:
Keling, yangi zanjirlarga o'tishni yarataylik
IP xavfsizlik devori filtri zanjirni qo'shish = oldinga o'tish protokoli = tcp harakati = sakrash-target = tcp
IP xavfsizlik devori filtrini qo'shish zanjiri = oldinga o'tish protokoli = udp harakati = o'tish o'tish-target = udp
IP xavfsizlik devori filtri qo'shish zanjiri = oldinga o'tish protokoli = icmp harakati = o'tish o'tish-target = icmp

Keling, tcp zanjiri uchun tcp qoidalarini yarataylik va ba'zi portlarni rad etamiz:
IP xavfsizlik devori filtrini qo'shish zanjiri = tcp protokoli = tcp dst-port = 69 harakat = sharhni qoldirish = "TFTPni rad etish"
IP xavfsizlik devori filtrini qo'shish zanjiri = tcp protokoli = tcp dst-port = 111 harakat = sharhni qoldirish = "RPC portmapperini rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = tcp protokoli = tcp dst-port = 135 harakat = sharhni tashlab = "RPC portmapperini rad etish"
IP xavfsizlik devori filtrini qo'shish zanjiri = tcp protokoli = tcp dst-port = 137-139 harakat = sharhni qoldirish = "NBTni rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = tcp protokoli = tcp dst-port = 445 harakat = sharhni qoldirish = "Cifsni rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = tcp protokoli = tcp dst-port = 2049 action = sharhni qoldirish = "NFSni rad etish"
IP xavfsizlik devori filtrini qo'shish zanjiri = tcp protokoli = tcp dst-port = 12345-12346 action = izohni qoldirish = "NetBusni rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = tcp protokoli = tcp dst-port = 20034 action = izohni qoldirish = "NetBusni rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = tcp protokoli = tcp dst-port = 3133 action = izohni qoldirish = "BackOrifficeni rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = tcp protokoli = tcp dst-port = 67-68 harakat = sharhni qoldirish = "DHCPni rad etish"

Keling, udp zanjiri uchun udp portlarini o'chirib qo'yamiz:
IP xavfsizlik devori filtrini qo'shish zanjiri = udp protokoli = udp dst-port = 69 harakat = sharhni qoldirish = "TFTPni rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = udp protokoli = udp dst-port = 111 harakat = sharhni qoldirish = "XXR portmapperini rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = udp protokoli = udp dst-port = 135 harakat = izoh qoldirish = "XXR portmapperini rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = udp protokoli = udp dst-port = 137-139 harakat = sharhni qoldirish = "NBTni rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = udp protokoli = udp dst-port = 2049 harakat = sharhni tashlab = "NFSni rad etish"
IP xavfsizlik devori filtri qo'shish zanjiri = udp protokoli = udp dst-port = 3133 harakat = sharhni qoldirish = "BackOrifficeni rad etish"

Keling, icmp zanjiri uchun faqat kerakli icmp kodlariga ruxsat beraylik:
IP xavfsizlik devori filtri qo'shish zanjiri = icmp protokoli = icmp icmp-options = 0: 0 action = sharhni qabul qilish = "Yaroqsiz ulanishlarni o'chirish"
IP xavfsizlik devori filtri qo'shish zanjiri = icmp protokoli = icmp icmp-options = 3: 0 action = sharhni qabul qilish = "O'rnatilgan ulanishlarni o'chirish"
IP xavfsizlik devori filtri qo'shish zanjiri = icmp protokoli = icmp icmp-options = 3: 1 action = sharhni qabul qilish = "O'rnatilgan ulanishlarga ruxsat berish"
IP xavfsizlik devori filtri qo'shish zanjiri = icmp protokoli = icmp icmp-options = 4: 0 action = sharhni qabul qilish = "Manbani o'chirishga ruxsat berish"
IP xavfsizlik devori filtri qo'shish zanjiri = icmp protokoli = icmp icmp-options = 8: 0 action = sharhni qabul qilish = "Echo so'roviga ruxsat berish"
IP xavfsizlik devori filtri qo'shish zanjiri = icmp protokoli = icmp icmp-options = 11: 0 action = sharhni qabul qilish = "Vaqtdan oshib ketishga ruxsat berish"
IP xavfsizlik devori filtri qo'shish zanjiri = icmp protokoli = icmp icmp-options = 12: 0 action = sharhni qabul qilish = "Parametrga ruxsat berish yomon"
IP xavfsizlik devori filtri qo'shish zanjiri = icmp action = izoh qoldirish = "boshqa barcha turlarni rad etish"

Mikrotik ishlab chiqaruvchisining marshrutizatorlari jozibador narxi va boy funksionalligi tufayli tobora ommalashib bormoqda. Ehtimol, SOHO segmentida Mikrotik yetakchi hisoblanadi. Bugun biz tashqi hujumlarga qarshilikni kuchaytirishga va Mikrotik ofisingizning barqaror ishlashini ta'minlashga yordam beradigan foydali konfiguratsiya variantlari haqida gaplashmoqchimiz.

Mikrotik himoya

1. Administrator login va parolini o'zgartirish

Routerimizning asosiy himoyasidan boshlaylik - buzib kirishga chidamli administrator login va parolini yaratish. Odatiy bo'lib, Mikrotik logindan foydalanadi admin va bo'sh parol. Keling, buni tuzatamiz: Winbox orqali routerimizga ulaning va sozlamalar bo'limiga o'ting Tizim → Foydalanuvchilar. Biz foydalanuvchini ko'ramiz admin sukut bo'yicha sozlangan:

Keling, yanada qattiqroq xakerlik tafsilotlariga (login/parol) ega bo'lgan yangi foydalanuvchini qo'shamiz. Buning uchun yuqori chap burchakdagi "+" belgisini bosing:

Guruh maydonida siz tanlashingiz kerakligini unutmang to'la foydalanuvchiga ma'muriy imtiyozlar berish. Sozlamalar amalga oshirilgandan so'ng, foydalanuvchini o'chiring admin va bundan buyon biz boshqaruv interfeysiga ulanish uchun faqat yangi foydalanuvchidan foydalanamiz.

2. Xizmat portlari

Mikrotik marshrutizatori portlari umumiy Internetdan foydalanish mumkin bo'lgan ba'zi xizmatlarni "ulangan". Ehtimol, bu sizning tarmoq sxemangiz uchun zaiflikdir. Shuning uchun biz sozlamalar bo'limiga o'tishni taklif qilamiz IP → Xizmatlar:

Agar siz Mikrotik-ga faqat Winbox orqali kirsangiz, bundan tashqari barcha xizmatlarni o'chirib qo'yishingizni tavsiya qilamiz winbox Va ssh(har holda ssh qoldiring), ya'ni:

• api-ssl
• www-ssl

O'chirish uchun qizil "x" belgisini bosing. Biz ketganimizdan beri SSH serverga kirish uchun portni 22 dan 6022 ga o'zgartirish orqali uni "xavfsiz" qilaylik. Buning uchun SSH xizmat portiga ikki marta bosing va ochilgan oynada sozlamani belgilang:

bosing Murojaat qiling Va KELISHDIKMI.

3. Shafqatsiz kuchdan himoya qilish (qo'pol kuch)

Mikrotik rasmiy veb-saytida routeringizni FTP va SSH kirish orqali parolni shafqatsiz kuchdan himoya qilish bo'yicha tavsiyalar mavjud. Oldingi bosqichda biz FTP-ga kirishni yopdik, shuning uchun agar siz ushbu ko'rsatmalarga qat'iy rioya qilsangiz, SSH hujumlaridan himoya qilish uchun faqat koddan foydalaning. Aks holda, ikkalasini ham nusxa ko'chiring. Shunday qilib, yo'riqnoma boshqaruv terminalini oching. Buning uchun o'ng navigatsiya menyusida bosing Yangi terminal. Quyidagi kodni marshrutizator konsoliga ketma-ket nusxa ko'chiring:

/ip xavfsizlik devori filtri #FTP hujumlarini bloklash zanjirni qo'shish=kirish protokoli=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" qo'shish zanjiri=chiqish harakati=protokolni qabul qilish=tcp kontenti ="530 Kirish noto'g'ri" dst-limit=1/1m,9,dst-manzil/1m qo'shish zanjiri=chiqarish harakati=add-dst-to-address-list protocol=tcp content="530 Kirish noto'g'ri" \ manzil ro'yxati =ftp_blacklist address-list-timeout=3 soat #SSH orqali hujumlarni bloklash zanjiri qoʻshish=kirish protokoli=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" oʻchirilgan=zanjir qoʻshilmaydi =kirish protokoli=tcp dst-port=22 ulanish holati=yangi \ src-adres-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment= " " o'chirilgan = zanjir qo'shilmagan = kirish protokoli = tcp dst-port = 22 ulanish holati = yangi \ src-address-list = ssh_stage2 action = add-src-to-address-list address-list = ssh_stage3 \ manzillar ro'yxati - timeout=1m comment=""o'chirilgan=zanjir qo'shish yo'q=kirish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage1 \ action=add-src-to-address-list address-list = ssh_stage2 address-list-timeout=1m comment="" o'chirilgan=zanjir qo'shilmagan=kirish protokoli=tcp dst-port=22 ulanish holati=yangi amal=add-src-to-address-list \ address-list=ssh_stage1 manzili -list-timeout=1m comment="" o'chirilgan=yo'q

Konfiguratsiya zahirasini yaratish

Router ishlamay qolsa yoki avariya bo'lsa, tez tiklanish uchun uning konfiguratsiyasi qo'lingizda bo'lishi kerak. Buni qilish juda oddiy: navigatsiya menyusida bosish orqali terminalni oching Yangi terminal va quyidagi buyruqni belgilang:

Eksport fayli=zaxira2020-02-10_01:01:22

Faylni navigatsiya menyusidagi bo'limni bosish orqali topish mumkin Fayllar. Sichqonchaning o'ng tugmachasini bosish va tanlash orqali uni kompyuteringizga yuklab oling Yuklab olish

Saytga kirishni bloklash

Ish vaqti davomida xodimlar ishlashi kerak. Shuning uchun, keling, Youtube, Facebook va Vkontakte kabi ko'ngilochar resurslarga kirishni bloklaylik. Buning uchun bo'limga o'ting IP → Xavfsizlik devori. Yorliq ustiga bosing 7-qavat protokoli va keyin yuqori chap burchakdagi "+" belgisini bosing:

Biz qoidamizga nom beramiz, u OSI modelining 7-darajasida ishlaydi va Regexp bo'limida biz quyidagilarni qo'shamiz:

^.+(youtube.com|facebook.com|vk.com).*$

bosing KELISHDIKMI va tabga o'ting Filtrlash qoidalari va "+" belgisini bosing:

Zanjir bo'limida Oldinga ni tanlang. Xuddi shu oynada yorliqga o'ting Murakkab va Layer 7 Protocol maydonida biz yaratgan blokirovka qoidasini tanlang:

Yorliqga o'ting Harakat, va u erda Action = Drop-ni tanlang:

Sozlamalar tugagach, bosing Murojaat qiling Va KELISHDIKMI.

Ushbu maqola siz uchun foydali bo'ldimi?

Iltimos, ayting-chi, nega?

Maqola siz uchun foydali bo'lmagani uchun uzr so'raymiz: (Iltimos, qiyin bo'lmasa, sababini ko'rsating? Batafsil javob uchun juda minnatdor bo'lamiz. Bizni yaxshilashga yordam berganingiz uchun tashakkur!

Shafqatsiz kuch - bu kimdir qo'pol kuch ishlatadigan har qanday narsa uchun parolimizni topishga, ba'zan uzoq va qattiq harakat qilganda. Linuxda fail2ban bundan himoyalanish uchun muvaffaqiyatli ishlatiladi. Mikrotikda bunday zavq yo'q, shuning uchun biz o'z qo'llarimiz bilan shafqatsiz kuchdan himoya qilishdan zavqlanamiz.

Rasmiy vikida (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention) ko'rgan bo'lsangiz kerak, to'liq buyruqlar ro'yxati:

zanjirni qo'shish = kirish protokoli = tcp dst-port = 22 src-adres-list = ssh_blacklist action = izoh qoldir = "Drop ssh brute forcers" o'chirilgan = yo'q
zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" " o'chirilgan = yo'q
zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" " o'chirilgan = yo'q
zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" " o'chirilgan = yo'q
zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi harakat=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" o'chirilgan=yo'q

Va Internetda bu to'plam mavjud bo'lgan ko'plab joylar mavjud. Men nima qilishini bir oz tushuntirib beraman.

G'oya shunday: biz qisqa vaqt ichida ssh orqali ulanish uchun uchta qonuniy urinish beramiz (22/tcp, agar sizda boshqa port bo'lsa, o'zingiznikidan foydalaning). To'rtinchi urinishda biz sizni 10 kunga taqiqlaymiz. Bizning huquqimiz bor. Shunday qilib, bosqichma-bosqich.

1. 22/tcp porti bilan yangi ulanish (connection-state=new) o'rnatilganda biz manba ipni eslaymiz va uni 1 daqiqa davomida “ssh_stage1” ro'yxatiga joylashtiramiz:

zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi harakat=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" o'chirilgan=yo'q

2. Agar shu daqiqada bu “kimdir” (va biz uni “ssh_stage1” da eslaymiz) yana bir bor 22/tcp bilan yangi ulanish o‘rnatmoqchi bo‘lsa, biz uni “ssh_stage2” ro‘yxatiga qo‘shamiz, shuningdek, 1 daqiqaga:

zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" " o'chirilgan = yo'q

3. Agar shu daqiqada bu “kimdir” (hozir u “ssh_stage2” da) yana 22/tcp ga ulanishni istasa, biz uni “ssh_stage3” ro‘yxatiga qo‘shamiz (ha, siz taxmin qildingiz, yana 1 daqiqaga):

zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" " o'chirilgan = yo'q

4. Agar u qat'iyatli bo'lsa, unda biz uni 10 kun davomida "qora ro'yxat"imizga "ssh_blacklist" ga kiritamiz, chunki bu muhim emas.

zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" " o'chirilgan = yo'q

5. Va bu buyruq bilan biz hammani “ssh_blacklist” roʻyxatidan hech qanday shubhasiz man qilamiz (qoida sukut boʻyicha faol emasligini unutmang):

zanjirni qo'shish = kirish protokoli = tcp dst-port = 22 src-adres-list = ssh_blacklist action = izohni qo'shish = "ssh brute forcersni tushirish" o'chirilgan = ha

Aslida, men bunday sxemani tuzganimda va Linux konsolidan mikrotikimning tashqi IP-ga ulanishga harakat qilganimda, ikkinchi urinishda (3 yoki 4-da emas) "hujumkor" IP "ssh_blacklist" ro'yxatiga kiritilgan edi. ” roʻyxati. Men Mikrotik uchun ssh dan foydalanmayman, shuning uchun mening holatimda bu halokatli emas, lekin agar siz haqiqatan ham shunday masofadan ulansangiz, unda Avvaliga taqiqlash qoidasini yoqmaslik yaxshi fikr bo'lishi mumkin (o'chirilgan = ha). Ular ro'yxatga kiritilsin, hech qanday savol berilmasin. Taqiqlanganlar ro'yxatiga kirishdan oldin ketma-ket necha marta ulanishingiz kerakligini amalda hisoblang. Tekshiruvlardan so'ng "ssh_blacklist" ro'yxati bo'yicha taqiqlash qoidasini faollashtiring! Buyruqlar uzun bo'lgani uchun uzr so'rayman, lekin tahlilchi teskari chiziqni yeydi, shuning uchun u bir qatorda tugaydi.