BREBER: Mam neco takoveho:


/ip firewall filter
add action=drop chain=forward comment=SPAM disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=3d chain=forward connection-limit=30,32 disabled=no dst-port=25 limit=50,5 protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=1d chain=input comment="Ochrana pred utokem FTP" content="530 Login incorrect" disabled=no dst-address-list=ftp_stage4
add action=add-dst-to-address-list address-list=ftp_stage4 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage3
add action=add-dst-to-address-list address-list=ftp_stage3 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage2
add action=add-dst-to-address-list address-list=ftp_stage2 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1d10s chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp
add action=drop chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp

BREBER: ja pouzivam vice mene podobnej set pravidel jako je tady
Mikrotik Howto to Secure your router from invalid login attempts / Virus Flooding Attacks « Syed Jahanzaib Personnel Blog to Share Knowledge !
http://aacable.wordpress.com/2011/08/15/mikrotik-howto-prevent-mt-host-from-invalid-login-attempts-from-lanwan-users/


#Bruteforce login prevention
60

61
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
62
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
63
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
64

65
#This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts.
66

67
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
68
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d comment="" disabled=no
69
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
70
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
71
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no


NETWORK: ahoj, jak mas nastavene to pravidlo s tema pokusama? dík

tak jsem tu s tim infem...

no obrazku je videt kam to bylo presmerovany...a verze

BREBER: Welcome bro :)ja to jen teda prejel new firmwarem :) a doufam ze cajk ale mel jsme to na upoc 100mb s verejnou ip a povolenym ssh ale heslo bylo 64 bit :(

uz ho mam na stole, ale nedostanu se k tomu driv ne ve ctvrtek. Ono se z toho asi moc poznat neda...

Daval jsem to mistrum do i4 a komunikovali přímo s Mikrotikem a mám tu i nějaké vyjádření..pak to sem zkusím nejak nandat...bohužel není uplně jasné, jakým způsobem to hackli...

Kazdopadne prosim o podrobne info ohledne toho utoku (verzi RoS, skrze jakou sluzbu (nebo port) se tam dostali, atp). A nebylo by spatne udelat suppout.rif a poslat to na support MikroTiku !

NETWORK: asi nějaká díra (buffer overflow nebo tak nějak) :-)

BREBER: tak to je mazec teda... ja mam tedy na vsech routerech s verejnou IP prave pro telnet a ftp nastavene pravidla, ktere po 5 neuspescnych logine hodi IP do blacklistu... ale stejne, pokud si tam mel silne heslo, jak je mozne ze se tam dostali?

BREBER: díky

AHARAZ: nevim, ale zjistim...zitra ho budu mit u sebe...

BREBER: Jaká tam byla verze ROS?

Tak mi někdo hacknul mikrotik...docela blby zjištění.

Pravdou je, že zvenku bylo zakazaný jen SSH. Vypnutej admin a heslo na dalším userovi bylo dost složitý...

údajně tedy přes telnet nebo ftp...nic moc :-(

Projevilo se to tak, že veškerý provoz na www (port 80) byl přesměrovanej na nejaky chinaweb s rozsypanym cajem...pak byl smazanej puvodni muj admin účet a vytvořenej novej user "admin" a "new" s heslem "woaiaojia"...dost mazec :-(

FAJL: groupoffice.com ??

milí odborníci, poradí mi někdo, jak na routeru EDIMAX AR-7064G+B rozchodit QOS?
ideálně se zaměřením na port, HW adresu, případně IP.
povedlo se mi přes telnet zprovoznit ve webovém rozhraní QOS a VLAN, akorát jsem to zatím nenastavoval, takže nevím kudy kam :-)
např.. VLAN se nastavuje pro porty? a jednotlivám VLAN jde nastavit priorita?

kolega resi IPSEC VPN tunel mezi MTK a Cisco - potreboval by ho nejak udrzovat nazivu ze strany MTK - je mozne neco jako IP SLA, proste nejaky keepalive mechanismus?

management zarizeni, ktere ukoncuji VPN, je nekdy blbe dostupny pres vnitrni iface - zalezi jak je zpracovavana interni komunikace - nemusi se dostat do toho VPN tunelu

ale pritom ve vlastnostech v zalozce Router OS rika vse co se v nem deje a spravne, takze dostupnyje, ale sluzba ping neprojde

a dalsi dotazek, dokaze mi nekdo vysvetlit, proc router, ktery mam za vpn tunelem a normalne ho pingnu (protoze tvori druhou stranu tunelu), tak dude ho neni schopen detekova ?

Zdravím,
prosil bych o radu ohledně meshování..
Nechť mám n routerboardů (třeba 5), všechno jsou to RB411 na 2,4GHz a jsou rozprostraněné na nějakém menším uzemí, že každý vidí aspoň dva další.
Pak je tam samozřejmě jeden jakožto DG, kterej je zapojenej ven.
Na každém je wlan interface dynamic mesh..
..a obecně jsem postupoval podle návodu, co jsem našel na routerboard.com.

Jenže to prostě funguje blbě. Potřebuju, aby klienta, který bude chaoticky pobíhat z jednoho konce sítě na druhý, si to přebíralo a aby tam nevznikaly díry, které jseou podle mě způsobeny reasociací k jednotilvým uzlům a znovunapojení na danou síť.

Obětoval byste, prosím, někdo čas a vypsal vlastními slovy mechanický postup pro nastavení uzlu a gatewaye.. ? Myslím, že by mi to dost pomohlo slyšet od někoho, kdo s tím má nějakou zkušenost..

Díky..

NIX23:
vdaka moc :)

HAWKS: Ve firewallu v zalozce NAT pridas pravidlo dst-nat a je treba vyplnit protokol port a ip wan dale na zalozce action dat akci dst-nat na port a ip v lan