BREBER: ja pouzivam vice mene podobnej set pravidel jako je tady
Mikrotik Howto to Secure your router from invalid login attempts / Virus Flooding Attacks « Syed Jahanzaib Personnel Blog to Share Knowledge !
http://aacable.wordpress.com/2011/08/15/mikrotik-howto-prevent-mt-host-from-invalid-login-attempts-from-lanwan-users/


#Bruteforce login prevention
60

61
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
62
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
63
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
64

65
#This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts.
66

67
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
68
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d comment="" disabled=no
69
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
70
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
71
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no


ještě dotaz, jaky má smysl obecně nastavit limity pro zahazovani packetů při brutal atacku?
Nastavil jsem 10 spojeni za 30s s timeoutem na den (kdybych si spletl heslo nebo tak)

NETWORK: ahoj, jak mas nastavene to pravidlo s tema pokusama? dík

tak jsem tu s tim infem...

no obrazku je videt kam to bylo presmerovany...a verze

BREBER: Welcome bro :)ja to jen teda prejel new firmwarem :) a doufam ze cajk ale mel jsme to na upoc 100mb s verejnou ip a povolenym ssh ale heslo bylo 64 bit :(

uz ho mam na stole, ale nedostanu se k tomu driv ne ve ctvrtek. Ono se z toho asi moc poznat neda...

Daval jsem to mistrum do i4 a komunikovali přímo s Mikrotikem a mám tu i nějaké vyjádření..pak to sem zkusím nejak nandat...bohužel není uplně jasné, jakým způsobem to hackli...

Kazdopadne prosim o podrobne info ohledne toho utoku (verzi RoS, skrze jakou sluzbu (nebo port) se tam dostali, atp). A nebylo by spatne udelat suppout.rif a poslat to na support MikroTiku !

NETWORK: asi nějaká díra (buffer overflow nebo tak nějak) :-)

BREBER: tak to je mazec teda... ja mam tedy na vsech routerech s verejnou IP prave pro telnet a ftp nastavene pravidla, ktere po 5 neuspescnych logine hodi IP do blacklistu... ale stejne, pokud si tam mel silne heslo, jak je mozne ze se tam dostali?

BREBER: díky

AHARAZ: nevim, ale zjistim...zitra ho budu mit u sebe...

BREBER: Jaká tam byla verze ROS?

Tak mi někdo hacknul mikrotik...docela blby zjištění.

Pravdou je, že zvenku bylo zakazaný jen SSH. Vypnutej admin a heslo na dalším userovi bylo dost složitý...

údajně tedy přes telnet nebo ftp...nic moc :-(

Projevilo se to tak, že veškerý provoz na www (port 80) byl přesměrovanej na nejaky chinaweb s rozsypanym cajem...pak byl smazanej puvodni muj admin účet a vytvořenej novej user "admin" a "new" s heslem "woaiaojia"...dost mazec :-(

FAJL: groupoffice.com ??

milí odborníci, poradí mi někdo, jak na routeru EDIMAX AR-7064G+B rozchodit QOS?
ideálně se zaměřením na port, HW adresu, případně IP.
povedlo se mi přes telnet zprovoznit ve webovém rozhraní QOS a VLAN, akorát jsem to zatím nenastavoval, takže nevím kudy kam :-)
např.. VLAN se nastavuje pro porty? a jednotlivám VLAN jde nastavit priorita?

kolega resi IPSEC VPN tunel mezi MTK a Cisco - potreboval by ho nejak udrzovat nazivu ze strany MTK - je mozne neco jako IP SLA, proste nejaky keepalive mechanismus?

management zarizeni, ktere ukoncuji VPN, je nekdy blbe dostupny pres vnitrni iface - zalezi jak je zpracovavana interni komunikace - nemusi se dostat do toho VPN tunelu

ale pritom ve vlastnostech v zalozce Router OS rika vse co se v nem deje a spravne, takze dostupnyje, ale sluzba ping neprojde

a dalsi dotazek, dokaze mi nekdo vysvetlit, proc router, ktery mam za vpn tunelem a normalne ho pingnu (protoze tvori druhou stranu tunelu), tak dude ho neni schopen detekova ?

Zdravím,
prosil bych o radu ohledně meshování..
Nechť mám n routerboardů (třeba 5), všechno jsou to RB411 na 2,4GHz a jsou rozprostraněné na nějakém menším uzemí, že každý vidí aspoň dva další.
Pak je tam samozřejmě jeden jakožto DG, kterej je zapojenej ven.
Na každém je wlan interface dynamic mesh..
..a obecně jsem postupoval podle návodu, co jsem našel na routerboard.com.

Jenže to prostě funguje blbě. Potřebuju, aby klienta, který bude chaoticky pobíhat z jednoho konce sítě na druhý, si to přebíralo a aby tam nevznikaly díry, které jseou podle mě způsobeny reasociací k jednotilvým uzlům a znovunapojení na danou síť.

Obětoval byste, prosím, někdo čas a vypsal vlastními slovy mechanický postup pro nastavení uzlu a gatewaye.. ? Myslím, že by mi to dost pomohlo slyšet od někoho, kdo s tím má nějakou zkušenost..

Díky..