MikroTik — возможна ли фильтрация трафика к проброшенному порту?

Question

[Raain]

Пытаюсь скрестить ежа с носорогом, а именно:
ограничить доступ к проброшенным портам
MikroTik — возможно ли ограничение доступа к проброшенному порту по ряду IP-адресов?
+
защита от перебора паролей
bozza.ru/art-264.html
На выходе хочу получить блокирование ip адресов (как описано во 2-й статье) от перебора, при условии, что трафик пробрасывается на локальную машину за nat-м

Answer 1

[Виктор Бельский]

Ну замените в листинге команд из вашей статьи chain с input на forward, а порт с 22, на 3389, ну и расположите после ваших правил которые разрешают авторизованным ip адресам подключение.

Comments

[Raain]

Так делал, если поменять input на forward, сразу "проскакивает" до правила drop и попадает в черный список

[Raain]

Вот как сделано:

add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m chain=\
forward connection-nat-state="" connection-state=new dst-port=3389 protocol=tcp
add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m chain=\
forward connection-nat-state=dstnat connection-state=new dst-port=3389 protocol=tcp \
src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m chain=\
forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1w3d \
chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage3
add action=drop chain=forward comment="drop rdp brute forcers" connection-nat-state="" \
disabled=yes dst-port=3389 protocol=tcp src-address-list=rdp_blacklist

[Виктор Бельский]

А уберите в первом правиле connection-state=new и добавьте connection-nat-state=dstnat

[Raain]

Виктор Бельский:

Ситуация не изменилась

add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m chain=\
forward connection-nat-state=dstnat connection-state="" dst-port=3389 protocol=tcp
add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m chain=\
forward connection-nat-state="" connection-state=new dst-port=3389 protocol=tcp \
src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m chain=\
forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1w3d \
chain=forward connection-nat-state="" connection-state=new dst-port=3389 protocol=tcp \
src-address-list=rdp_stage3
add action=drop chain=forward comment="drop rdp brute forcers" connection-nat-state="" \
disabled=yes dst-port=3389 protocol=tcp src-address-list=rdp_blacklist

получается такая картина маслом после первой попытки коннекта:

5 D rdp_stage1 144.76.83.71 apr/13/2017 14:34:24 16s
6 D rdp_stage2 144.76.83.71 apr/13/2017 14:34:24 16s
7 D rdp_stage3 144.76.83.71 apr/13/2017 14:34:24 16s
8 D rdp_blacklist 144.76.83.71 apr/13/2017 14:34:24 1w2d23h59m16s

[Виктор Бельский]

RDP генерирует много новых коннектов сразу, поэтому тут не все гладко.
Попробуйте так
add action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1w3d chain=forward connection-nat-state=dstnat connection-state=new dst-port=3389 nth=2,2 protocol=tcp src-address-list=rdp_stage3 \
tcp-flags=syn
add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m chain=forward connection-nat-state=dstnat connection-state=new dst-port=3389 nth=2,2 protocol=tcp src-address-list=rdp_stage2 \
tcp-flags=syn
add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m chain=forward connection-nat-state=dstnat connection-state=new dst-port=3389 nth=2,2 protocol=tcp src-address-list=rdp_stage1 \
tcp-flags=syn
add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m chain=forward connection-nat-state=dstnat connection-state=new dst-port=3389 nth=2,2 protocol=tcp src-address-list=!rdp_stage1 \
tcp-flags=syn

[Ltonid]

По той же схеме сделал 16 уровней. Если у конектящегося плохой инет, то минимум 9 и всё равно изредко банит кого не надо, но в целом спасает.
Если инет норм, то надо делать 5 уровней, потому что рдп всегда делает 3 конекта из-за кербиоса.

[Raain]

Виктор Бельский:
не помогло, теперь вообще не регистрирует коннекты =)

Ltonid:

по этой схеме, это по какой, можете дать кусок лога?

[Raain]

Ltonid:

Сделал 10 уровней, история повторилась, доходит уже до 10 уровня за 1с.

add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_stage4 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage4 action=add-src-to-address-list address-list=rdp_stage5 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage5 action=add-src-to-address-list address-list=rdp_stage6 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage6 action=add-src-to-address-list address-list=rdp_stage7 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage7 action=add-src-to-address-list address-list=rdp_stage8 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage8 action=add-src-to-address-list address-list=rdp_stage9 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage9 action=add-src-to-address-list address-list=rdp_stage10 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage10 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=yes

получается вот такая история:

24 D rdp_stage1 195.154.241.134 apr/14/2017 07:21:27 43s
25 D rdp_stage2 195.154.241.134 apr/14/2017 07:21:27 43s
26 D rdp_stage3 195.154.241.134 apr/14/2017 07:21:27 43s
27 D rdp_stage4 195.154.241.134 apr/14/2017 07:21:27 43s
28 D rdp_stage5 195.154.241.134 apr/14/2017 07:21:27 43s
29 D rdp_stage6 195.154.241.134 apr/14/2017 07:21:27 43s
30 D rdp_stage7 195.154.241.134 apr/14/2017 07:21:27 43s
31 D rdp_stage8 195.154.241.134 apr/14/2017 07:21:27 43s
32 D rdp_stage9 195.154.241.134 apr/14/2017 07:21:27 43s
33 D rdp_stage10 195.154.241.134 apr/14/2017 07:21:27 43s
34 D rdp_blacklist 195.154.241.134 apr/14/2017 07:21:27 1w2d23h59m43s

[Виктор Бельский]

Все походу зависит от того, к какой винде устанавливается коннект, в моем примере я подключался к 2003 серверу и он создавал два новых подключения. Сейчас подключаюсь к 2008 и уже только одно, т.е. nth=2,2 не нужно, попробуйте в моем листинге убрать этот пункт и проверить. Возможно вам придется поиграть с значением nth

З.Ы. Правила должны идти сверху вниз, т. е. первое это black-list

[Raain]

Виктор Бельский:

Работает, спасибо! Дело было в расположение правил, т.е. надо было поменять правила местами.

P.S. Подключаюсь к Win7, за 1 сессию rdp создается один коннект, параметр nth не обязателен.

На всякий случай рабочий конфиг =)

add action=drop chain=forward comment="drop rdp brute forcers" dst-port=3389 protocol=tcp \
src-address-list=rdp_blacklist
add action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1w3d chain=forward \
connection-nat-state=dstnat connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage3 tcp-flags=syn
add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m chain=forward \
connection-nat-state=dstnat connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage2 tcp-flags=syn
add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m chain=forward \
connection-nat-state=dstnat connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage1 tcp-flags=syn
add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m chain=forward \
connection-nat-state=dstnat connection-state=new dst-port=3389 protocol=tcp src-address-list=\
!rdp_stage1 tcp-flags=syn

[Денис Басарев]

У меня 2008 за NAT, настроено алогично, вижу что кто-то пытается подобрать пароль но в черный список не попадает :-( есть один нюанс, у меня настроено два провайдера, может ли это влиять?

Answer 2

[Multium]

Как добавить IP адреса при таком способе в исключения? У меня с нескольких регионов подключаются пользователи и там где их больше двух постоянно возникают проблемы с блокировкой.