SKFREE

Mikrotik™ Podpora - Rules na inpute MT
orin - 17.04.2007 - 08:30
Post subject: Rules na inpute MT
Mam verejnu IP, Kazdy den logujem utoky zvonku cez SSH a login failures. Ako mozem pouzit chain INPUT, IN interface WAN a dropnut prevadzku mimo 213.0.0.0 ? dakujem. Resp prosim o popis nastavenia
zelmar - 17.04.2007 - 21:44
Post subject:
No napriklad:

iptables -I INPUT -s ! 213.0.0.0/8 -p tcp --dport 22 -j DROP

kombinacii je neurekom
icerowicz - 18.04.2007 - 10:08
Post subject: Rules na inpute MT
orin wrote: ›Mam verejnu IP, Kazdy den logujem utoky zvonku cez SSH a login failures. Ako mozem pouzit chain INPUT, IN interface WAN a dropnut prevadzku mimo 213.0.0.0 ? dakujem. Resp prosim o popis nastavenia


toz a nemoze hodit len svoju ip na pristup na neho ? Myslim pre ssh.
si - 18.04.2007 - 13:31
Post subject:
icerowicz, orin: taketo nastavenia idealne ocenite pokial sa vam nahodou nieco zj... a budete sa potrebovat prihlasit odniekadial z prdele a nepojde vam to... a zakaznici budu pitchovat ze nieco nejde a pritom by ti stacilo sa len prihlasit a nieco na dialku upravit... Smile
airbilly - 18.04.2007 - 14:15
Post subject:
si wrote: ›icerowicz, orin: taketo nastavenia idealne ocenite pokial sa vam nahodou nieco zj... a budete sa potrebovat prihlasit odniekadial z prdele a nepojde vam to... a zakaznici budu pitchovat ze nieco nejde a pritom by ti stacilo sa len prihlasit a nieco na dialku upravit... Smile

Ale nie, stale sa tam da lognut napr cez winbox a tam si hned povolit pristup z lubovolnej IP
magnum - 18.04.2007 - 14:19
Post subject:
to su tie zahady mkt-u ktore ja v zivote nepochopim... ale neva... a na winbox sa nikto netlaci???

sak prehodim ssh na nejaky port niekde v prdeli vysoko a hotovo...
si - 18.04.2007 - 14:36
Post subject:
airbilly: no som zvedavy ako si budes instalovat neaky winbox na mobil niekde v prdeli v horach ked sa ti nieco zrube Smile
a ten co sa ti tam fakt ze bude chciet dostat, tak si ten winbox kludne zozenie tiez...
qido - 18.04.2007 - 15:10
Post subject:
si wrote: ›airbilly: no som zvedavy ako si budes instalovat neaky winbox na mobil niekde v prdeli v horach ked sa ti nieco zrube Smile
a ten co sa ti tam fakt ze bude chciet dostat, tak si ten winbox kludne zozenie tiez...


Smile ja by som xel vidiet taky uspesny utok nalogovanim sa cez ssh... teda ked na tej masine nie je nejaky svihnuty admin...
si - 18.04.2007 - 17:00
Post subject:
qido: ja tiez Smile ale co uz Smile akurat aby ma netrapili prilis velke mnozstva pokusov o logovanie sa scriptov co skusaju rozne default hesla z niektorych distier, tak mam obmedzene mnozstvo pokusov o ssh z vonkajsich IP na neake rozumne nizke cislo za minutu Smile normalny clovek nezaplni a utocnika rychlo posle do drop-u Smile
orin - 19.04.2007 - 14:02
Post subject: Ojojoj SI
si wrote: ›qido: ja tiez Smile ale co uz Smile akurat aby ma netrapili prilis velke mnozstva pokusov o logovanie sa scriptov co skusaju rozne default hesla z niektorych distier, tak mam obmedzene mnozstvo pokusov o ssh z vonkajsich IP na neake rozumne nizke cislo za minutu Smile normalny clovek nezaplni a utocnika rychlo posle do drop-u Smile


Teraz si SI jeb... udrel klincek pekne po hlavicke. O toto presne ide. Testuju loginy pod x menami. Mozes poslat skript ?
Obmedzit SSH na IP nemozem, potrebujem sa prihlasovat z Orange, e-Telu, GTS, zo zahr. Takze s tymto suhlasim s prispievatelmi z hor
Takze obmedzenie poctu loginov SSH za minutu je to prave riesenie. Dik za tip a posli script
magnum - 19.04.2007 - 15:42
Post subject:
script ??? Smile Smile

iptables -N LIMIT
iptables -F LIMIT
iptables -I INPUT 1 -i [waniface] -j LIMIT
iptables -A LIMIT -i [waniface] -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A LIMIT -p tcp --dport 22 -i [waniface] -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
iptables -A LIMIT -j RETURN

a mas to komplet Wink

edit:
pardon to waniface si nahrad nazvom NIC co mas na verejnej strane... + si tam pozes dorobit aj ip-cky s -s...
si - 19.04.2007 - 16:08
Post subject:
priklad:
Code: ›
/usr/sbin/iptables -N ssh
/usr/sbin/iptables -I ssh -s 1.2.3.4 -j ACCEPT
/usr/sbin/iptables -I ssh -s 5.6.7.8 -j ACCEPT
/usr/sbin/iptables -A ssh -m state --state NEW -m recent --set --name ssh --rsource -j ACCEPT
/usr/sbin/iptables -A ssh -m recent --update --seconds 300 --hitcount 10 --rttl --name ssh --rsource -m limit --limit 5/sec -j DROP
/usr/sbin/iptables -I INPUT -i eth0 -p tcp --dport 22 -j ssh

kde este ako doplnok k tomu co postol magnut je ze IP 1.2.3.4 1 5.6.7.8 sa netestuju a su automaticky povazovane za korektne (ked vies ze z danych IP lozievas pravidelne ty a nik iny tak aby ta neaky nahodny script utociaci na tvoju IP zbytocne neodrezal Smile )
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits