@MikrotikRu
Konstantin11.10.2018
05:28:01
05:28:01
БС?
Дамир11.10.2018
05:28:19
05:28:19
попытки на pptp авторизоваться, и там нет скана, по сути.
5.188 у меня сам по себе в бан попадает, просто совпадение, на сайт ржд и близко не хожу
Ilya11.10.2018
05:28:38
05:28:38
это Китай, что ли?
Konstantin11.10.2018
05:28:59
05:28:59
4it.me
GoogleKonstantin11.10.2018
05:29:02
05:29:02
Узнай
Sergey11.10.2018
05:29:33
05:29:33
это ВДС в Питере
Alex11.10.2018
05:31:15
05:31:15
Дело в том, что там не только портскан, на самом деле. А ещё вот это:
7:55:21 pptp,info TCP connection established from 5.188.10.176
07:55:21 pptp,ppp,error <1589>: user admin authentication failed
07:55:21 pptp,info TCP connection established from 5.188.10.176
Так это плохой айпишник, который брутит всеKonstantin11.10.2018
05:31:20
05:31:20
Конфиг в студию!
Alex11.10.2018
05:31:23
05:31:23
РЖД тут ни при чем
Konstantin11.10.2018
05:31:47
05:31:47
Ок((
Ilya11.10.2018
05:32:24
05:32:24
Да РЖД вообще отдельно. Я говорю, что вот то правило наверху почему-то отправляет в отдельную цепочку валидные сайты.
То есть, пошёл я на пикабу, потыкал туда-сюда, пооткрывал вкладки, и хоба - один из 3 адресов пикабу в бане
То же самое, если полазить на сайте РЖД
Niya11.10.2018
05:32:34
05:32:34
Ок((
/ip firewall filter
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Port scanners to list " \
protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp \
tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" src-address-list=\
"port scanners"
add action=drop chain=forward src-address-list="port scanners"Ilya11.10.2018
05:32:41
05:32:41
а 5.188 уходит в бан заслуженно
Google
Ilya11.10.2018
05:36:31
05:36:31
у, короче всю подсеть надо на нуль делить
у меня с тем правилом за сутки 3897 адресов накапало в блок-лист
Alex11.10.2018
05:37:38
05:37:38
Я предоставлю это дело скрипту ?
Ilya11.10.2018
05:37:44
05:37:44
3 правила, на самом деле, но больше всего срабатываний именно по этому
Alex11.10.2018
05:45:18
05:45:18
А скан портов как проверяется?
Sergey11.10.2018
05:45:54
05:45:54
а есть ли вообще смысл со всем этим заморачиваться? ловить сканы портов и т.д.?
Ilya11.10.2018
05:47:20
05:47:20
да вообще нет, просто чот выбесило, что то ipsec пропозал подбирают, то на pptp появляются TCP сессии.
Sergey11.10.2018
05:48:07
05:48:07
может проще белый список? пусть даже целыми AS если у клиента динамика
с белым списком опадают сразу Китай, всякие Нидерланды, Канады и прочие ВДС от всяких хостингов
пусть себе долбятся в DROP
вероятность того что кто-то будет ломится от своего же провайдера или другого внесенного в белый список крайне низка
Alex11.10.2018
05:52:06
05:52:06
Ковыряюсь тут в скриптах, и чет не выходит организовать запросик на проверку
:if (interface enable=ether2) do={
тут просто, тут работает
interface bridge port number=6
вот этот надо проверить на инейбл
Шестой интерфейс в портах бриджей
где тут условие )
нужно 6 порт проверить на включен он или нет
if (/interface ethernet get ether1-WAN running)
либо так
:if (/interface ethernet get ether3 disabled)
Если немного непонятно с булевой логикой то в первом случае true в случае running
Во втором true в случае disabled. На enabled нельзя проверить, к сожалению.
И прежде чем писать скрипт - проверяй то, что ты пишешь, в консоли микротикаSergey11.10.2018
05:52:30
05:52:30
а управление по дефолту должно быть закрыто из мира, совсем закрыто, наглухо
Дамир11.10.2018
06:00:19
06:00:19
вероятность того что кто-то будет ломится от своего же провайдера или другого внесенного в белый список крайне низка
у меня обычно моя /16 сетка в бане треть списка занимаетGoogleAlex11.10.2018
06:06:13
06:06:13
login failure for user alex from 58.59.2.26 via ssh
Охереть, какая-то мразота пытается под моим логином подключаться
nekto.ng11.10.2018
06:07:09
06:07:09
спалили где то
Alex11.10.2018
06:07:46
06:07:46
Я буду дико орать если на исходниках моих скриптов ?
Владимир11.10.2018
06:11:23
06:11:23
алексов не трудно спалить
у знакомого лехи фряху тоже с алексом брутили
после этого он поменял логин
Alex11.10.2018
06:13:32
06:13:32
Из нестандартных логинов еще был sherzad420 и mmcgowan
nekto.ng11.10.2018
06:14:08
06:14:08
ну теперь их можешь тоже менять
Рамиль М.Владимир11.10.2018
06:14:42
06:14:42
alex давно стандартный логин
Sergey11.10.2018
06:16:17
06:16:17
На моем тике тоже алексом пробовали
Sergey11.10.2018
06:16:23
06:16:23
И не только алексом
Alex11.10.2018
06:19:25
06:19:25
Дамир11.10.2018
06:22:20
06:22:20
Почему tcp connection state = established, если комп за натом, который устанавливал соединение, уже со вчера оффлайн?)
Konstantin11.10.2018
06:22:38
06:22:38
А вообще по хорошему, все закрывать из вне и оставлять только доступ по l2tp+IPsec. А там и делай все что вздумается.
Почему tcp connection state = established, если комп за натом, который устанавливал соединение, уже со вчера оффлайн?)
Timeout смотриНет
Владимир11.10.2018
06:23:35
06:23:35
не будешь смотреть?
Alex11.10.2018
06:23:36
06:23:36
А вообще по хорошему, все закрывать из вне и оставлять только доступ по l2tp+IPsec. А там и делай все что вздумается.
Будут периодически подбирать шифрование ipsecGoogleAlex11.10.2018
06:23:48
06:23:48
И тут поможет карающий скрипт
Владимир11.10.2018
06:24:12
06:24:12
Alex11.10.2018
06:24:36
06:24:36
Лучше скриптом очишать жуликов)
Alex11.10.2018
06:25:05
06:25:05
Сейчас коммит сделаю как раз)
Владимир11.10.2018
06:25:05
06:25:05
жуликов лучше очищать крестом и святой водой
AdminERROR: S client not available
Владимир11.10.2018
06:25:28
06:25:28
крест потяжелее и на дно освященного озера
Владимир11.10.2018
06:26:24
06:26:24
никто из вас абузы не писал на таких жуликов?
Владимир11.10.2018
06:27:21
06:27:21
делать мир чище
Konstantin11.10.2018
06:27:29
06:27:29
Пробуй
Владимир11.10.2018
06:27:38
06:27:38
ну я писал
Konstantin11.10.2018
06:27:48
06:27:48
Успешно?
Владимир11.10.2018
06:27:53
06:27:53
когда видел что с российских ип ко мне ломятся
вполне
правда логи требуют
GoogleВладимир11.10.2018
06:28:11
06:28:11
типа своих нет
Konstantin11.10.2018
06:28:11
06:28:11
Исход?
Владимир11.10.2018
06:28:57
06:28:57
исход не котролировал
вроде кто-то отписывался, что приняли меры
на это время нужно. и так потратил чтобы абузы сочинять
Alex11.10.2018
06:30:28
06:30:28
Ну читай ридми же)
Konstantin11.10.2018
06:30:36
06:30:36
Читаю
Alex11.10.2018
06:30:37
06:30:37
По шедулеру сам выставляешь
Еще бы можно было чистить буфер так, чтобы не писалось во флеш память
Напишу на сапорт микротика с этим вопросом
Alex11.10.2018
06:32:51
06:32:51
Если оба за серым - никак
B11.10.2018
06:32:51
06:32:51
Через третий со статическим
nekto.ng11.10.2018
06:33:19
06:33:19
ну если адрес не за натом то да
Открыть в Telegram