super, tak mám další anomálii s tím routrem...pri pokusu přihlásit se k němu z winboxu mi to píše chybu "bad file format" ...z googlu toho moc nevypadlo...

paradoxem je, že z mého PC to jede, ale to je tak asi jediny...nechapu...

zkusil jsem vypnout veškerá firewall pravidla a žádná změna, v services jsou povolene jen winbox a http

BREBER: Mam neco takoveho:


/ip firewall filter
add action=drop chain=forward comment=SPAM disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=3d chain=forward connection-limit=30,32 disabled=no dst-port=25 limit=50,5 protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=1d chain=input comment="Ochrana pred utokem FTP" content="530 Login incorrect" disabled=no dst-address-list=ftp_stage4
add action=add-dst-to-address-list address-list=ftp_stage4 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage3
add action=add-dst-to-address-list address-list=ftp_stage3 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage2
add action=add-dst-to-address-list address-list=ftp_stage2 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1d10s chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp
add action=drop chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp

BREBER: ja pouzivam vice mene podobnej set pravidel jako je tady
Mikrotik Howto to Secure your router from invalid login attempts / Virus Flooding Attacks « Syed Jahanzaib Personnel Blog to Share Knowledge !
http://aacable.wordpress.com/2011/08/15/mikrotik-howto-prevent-mt-host-from-invalid-login-attempts-from-lanwan-users/


#Bruteforce login prevention
60

61
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
62
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
63
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
64

65
#This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts.
66

67
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
68
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d comment="" disabled=no
69
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
70
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
71
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no


ještě dotaz, jaky má smysl obecně nastavit limity pro zahazovani packetů při brutal atacku?
Nastavil jsem 10 spojeni za 30s s timeoutem na den (kdybych si spletl heslo nebo tak)

NETWORK: ahoj, jak mas nastavene to pravidlo s tema pokusama? dík

tak jsem tu s tim infem...

no obrazku je videt kam to bylo presmerovany...a verze

BREBER: Welcome bro :)ja to jen teda prejel new firmwarem :) a doufam ze cajk ale mel jsme to na upoc 100mb s verejnou ip a povolenym ssh ale heslo bylo 64 bit :(

uz ho mam na stole, ale nedostanu se k tomu driv ne ve ctvrtek. Ono se z toho asi moc poznat neda...

Daval jsem to mistrum do i4 a komunikovali přímo s Mikrotikem a mám tu i nějaké vyjádření..pak to sem zkusím nejak nandat...bohužel není uplně jasné, jakým způsobem to hackli...

Kazdopadne prosim o podrobne info ohledne toho utoku (verzi RoS, skrze jakou sluzbu (nebo port) se tam dostali, atp). A nebylo by spatne udelat suppout.rif a poslat to na support MikroTiku !

NETWORK: asi nějaká díra (buffer overflow nebo tak nějak) :-)

BREBER: tak to je mazec teda... ja mam tedy na vsech routerech s verejnou IP prave pro telnet a ftp nastavene pravidla, ktere po 5 neuspescnych logine hodi IP do blacklistu... ale stejne, pokud si tam mel silne heslo, jak je mozne ze se tam dostali?

BREBER: díky

AHARAZ: nevim, ale zjistim...zitra ho budu mit u sebe...

BREBER: Jaká tam byla verze ROS?

Tak mi někdo hacknul mikrotik...docela blby zjištění.

Pravdou je, že zvenku bylo zakazaný jen SSH. Vypnutej admin a heslo na dalším userovi bylo dost složitý...

údajně tedy přes telnet nebo ftp...nic moc :-(

Projevilo se to tak, že veškerý provoz na www (port 80) byl přesměrovanej na nejaky chinaweb s rozsypanym cajem...pak byl smazanej puvodni muj admin účet a vytvořenej novej user "admin" a "new" s heslem "woaiaojia"...dost mazec :-(

FAJL: groupoffice.com ??

milí odborníci, poradí mi někdo, jak na routeru EDIMAX AR-7064G+B rozchodit QOS?
ideálně se zaměřením na port, HW adresu, případně IP.
povedlo se mi přes telnet zprovoznit ve webovém rozhraní QOS a VLAN, akorát jsem to zatím nenastavoval, takže nevím kudy kam :-)
např.. VLAN se nastavuje pro porty? a jednotlivám VLAN jde nastavit priorita?

kolega resi IPSEC VPN tunel mezi MTK a Cisco - potreboval by ho nejak udrzovat nazivu ze strany MTK - je mozne neco jako IP SLA, proste nejaky keepalive mechanismus?

management zarizeni, ktere ukoncuji VPN, je nekdy blbe dostupny pres vnitrni iface - zalezi jak je zpracovavana interni komunikace - nemusi se dostat do toho VPN tunelu

ale pritom ve vlastnostech v zalozce Router OS rika vse co se v nem deje a spravne, takze dostupnyje, ale sluzba ping neprojde