Evitar a força bruta de logon do RDP no roteador mikrotik via winbox

Navegue suas respostas
2

Mestres,

Preciso de ajuda, como configurar nosso roteador para bloquear ataques de força bruta RDP

Gostaria de configurar nosso roteador para permitir apenas a conexão RDP de um país especificado (nossos intervalos de IP especificados), além de precisar configurar o roteador para bloquear (levar ips para a lista negra) e soltar a força bruta attepmst para a porta especificada números.

Eu tento definir isso com a alteração da porta ftp para a porta rdp.

link

Qualquer sugestão tnx.

H

Configuração atual:

Eu tento configurar o roteador via Winbox.

Eu configurei algumas regras NAT (do dyndns para o endereço local, porta rdp)

Na guia "Regras de filtro":

  • Nãotenhocertezaseessaconfiguraçãodevefazerotruque?!Otextodoconteúdo"530 login incorreto" é adequado para conexão RDP? Porque no tutorial usado para filtrar a conexão FTP.
  • Como definir o roteador para permitir tentativas de RDP de intervalos de IP especificados?

Obrigado

// Nova configuração

    
por holian 27.10.2013 / 07:58

1 resposta

6

A configuração do FTP está realmente procurando nos dados FTP para ver o código 530. Você vai querer adaptar a configuração do SSH não a configuração do FTP. Tente isto: 

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

O que esta configuração realmente faz, é para cada tentativa de entrada que adiciona o endereço IP a uma lista. A primeira vez que ele é adicionado ao stage1, então se o IP ainda está no stage1 (após um minuto) e outra tentativa é feita, ele é adicionado ao stage2, e depois disso duas vezes ele é adicionado à lista rdp_blacklist onde ele fica bloqueado por 10 dias.

Se você quiser que ele seja mais ou menos agressivo, você pode alterar os tempos limite da lista ou até mesmo adicionar mais listas, se desejar.

Você pode adicionar uma lista deles para permitir apenas intervalos de IP específicos: 

add chain=forward dst-port=3389 src-address=192.168.0.0/24 action=accept
add chain=forward dst-port=3389 src-address=10.10.0.1/32 action=accept
add chain=forward dst-port=3389 action=drop

Basta adicionar quantas linhas de endereço src forem necessárias antes da linha de recebimento final. Se você tem um monte de intervalos, você pode criar uma lista de endereços e fazer referência a isso usando: 

add chain=forward dst-port=3389 src-address-list=rdp_acceptlist action=accept
add chain=forward dst-port=3389 action=drop

Em seguida, adicione seus endereços à rdp_acceptlist

Para adicionar ao rdp_acceptlist, use o seguinte comando: 

/ip firewall address-list add list=rdp_acceptlist address=192.168.0.0/24
    
por 27.10.2013 / 08:30

Tags

ping -a às vezes retorna o nome do host e, às vezes, retorna o FQDN. Por quê? Isso significa que o DNS está corrompido de alguma forma? nginx http server_names_hash_bucket_size