На mikrotik можно ограничить число попыток входа по ssh?

Question

[Александр Семененко]

Когда я подключаюсь по ssh к mikrotik, сейчас у меня 3 попытки ввести пароль, после чего происходит дисконект, и приходится заново подключаться, и опять 3 попытки ввести пароль. У меня это ограничение на ssh клиенте, т.е. я могу настроить и 6 попыток ввода пароля (помоему столько позволяет ssh сервер на микротике). Я могу ограничить на самом ssh сервере микротика число этих попыток?

Answer 1

[Ilya Demyanov]

Можно, например вот так:

/ip firewall filter
add action=drop chain=input comment="ssh blacklist drop" connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d chain=input comment="ssh stage3 to black list" connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="ssh stage2 to stage 3" connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="ssh stage1 to stage 2" connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="ssh new to stage1" connection-state=new dst-port=22 protocol=tcp

Добавляем ip из каждого нового подключения в список stage1 на одну минуту, если в течении этой минуты будет еще попытка, то переводим его в stage2, далее в stage3, а от туда уже в blacklist на 30 дней, который, соответственно, дропаем первым правилом.

Comments

[Александр Семененко]

это я и сделал, но бот может подключиться перебрать пароли за минуту и отключиться, подключиться через минуту и опять перебрать и всегда будет в 1 адреслисте. У меня как-раз это и происходит

[brar]

Александр Семененко: Возможно, в Вашем случае будет правильнее, если использовать "белый список" адресов, c которых разрешено подключение по ssh?

[Александр Семененко]

kinvlad: нет, нужно подключаться со всех ip

[Ilya Demyanov]

Александр Семененко: тогда скриптом анализировать лог микротика: https://wiki.mikrotik.com/wiki/Log_Parser_-_Event_...

[brar]

Александр Семененко: Очевидный тогда вариант - нужно увеличить срок бана. В routerOS нет возможности указать количество попыток. Ну и всё же, мне не приходит на ум ни одной здравой причины не использовать белый список.
Не могли бы прояснить, зачем нужно подключение по ssh к микротику с любого IP?
И ещё вариант - это использовать ssh-ключи вместо паролей (причем имя пользователя не стандартное).

[Александр Семененко]

kinvlad: а если ip динамически получаю

[Александр Семененко]

Ilya Demyanov: вот это интересно, спасибо

[brar]

Александр Семененко: Включаете на целевом роутере l2tp сервер. На том роутере, где динамически получается IP настраиваете l2tp-клиент. Вешаете сверху ipsec.
Если роутер, где динамич.адрес, не позволяет настроить l2tp+ipsec, то настроить клиента непосредственно на своей мащине.

[Сергей]

Скрипт является ответом на ваш вопрос, вы можете сократить кол-во ssh_stage с 3 до 1 и при повторной попытке добавлять IP в черный список.

[Obsession]

Александр Семененко: внимательнее смотрите правила, после 3-й неудачной попытки соединение попадет в банлист, хоть за секунду.
Ещё как вариант посмотрите в сторону Port Knocking.

[Ян]

Александр Семененко: Вот господин Obsession правильно сказал. Используйте Port Knocking, Putty умеет это с версии 0.63

[Александр Семененко]

Ян Незамутдинов: спасибо, на выходных будет время позанимаюсь, пока даже не знаю что это)

Answer 2

[NightLan]

Ilya Demyanov , ваше решение абсолютно неверное и в бан на 30 дней уходит аккаунт сразу же. То есть, если владелец случайно введет неверно пароль, то сразу блок. Это не верная логика.
Не понятно зачем выкладывать правила абсолютно не проверив их.

Comments

[Stranger181]

Прошу обосновать.
На сколько вижу - в случае верной очерёдности правил (а у Ilya Demyanov они создаются в нужной последовательности) - все работает корректно. Так - в список 2 адрес попадает лишь в случае: что а) этот адрес уже есть в списке 1 и б)устанавливается новое подключение
+ я проверил у себя - добавил правила, все работает ожидаемо и как надо