Информация
Настройка
Новости
Контакты
Новинка
Распродажа
Оплата
Доставка
Загрузки
  • Прошивки
    • WinBox
    • RouterOS
    • Мобильные приложения MikroTik
    • Архив
  • Changelogs
  • RouterOS
  • Мобильные приложения MikroTik
  • Архив
Форум
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
    info@mikrotik.moscow
    +7 495 320-55-52
    Заказать звонок
    Mikrotik.moscow
    Каталог
    • Акции
      Акции
    • Маршрутизаторы
      Маршрутизаторы
    • Коммутаторы
      Коммутаторы
    • Радиомосты и уличные точки доступа
      Радиомосты и уличные точки доступа
    • Wi-Fi для дома и офиса
      Wi-Fi для дома и офиса
    • LTE/5G
      LTE/5G
    • Powerline адаптеры
      Powerline адаптеры
    • IoT устройства
      IoT устройства
    • Оборудование 60 ГГц
      Оборудование 60 ГГц
    • Материнские платы RouterBOARD
      Материнские платы RouterBOARD
    • Корпуса
      Корпуса
    • Интерфейсы
      Интерфейсы
    • SFP/QSFP трансиверы
      SFP/QSFP трансиверы
    • Аксессуары
      Аксессуары
    • Антенны
      Антенны
    • Архив
      Архив
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Скачать WinBox Скачать Прошивки Форум > RouterOS Форум > SwOS Форум > Железо
    Mikrotik.moscow
    Каталог
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Mikrotik.moscow
    Телефоны
    +7 495 320-55-52
    Заказать звонок
    0
    0
    0
    Mikrotik.moscow
    • +7 495 320-55-52
      • Назад
      • Телефоны
      • +7 495 320-55-52
      • Заказать звонок
    • info@mikrotik.moscow
    • г. Москва, ул. Бакунинская, 84
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной


    • Кабинет
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    RouterOS
    Чтобы предотвратить подбор пароля к вашему FTP-серверу

    Чтобы предотвратить подбор пароля к вашему FTP-серверу

    Форумы: RouterOS, Аппаратное обеспечение, SwOS, Обратная связь, Объявления, Сторонние инструменты
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Чтобы предотвратить подбор пароля к вашему FTP-серверу, RouterOS
     
    Borage
    Guest
    #1
    0
    04.07.2007 15:33:00
    Вот несколько правил брандмауэра, чтобы остановить/замедлить подборщики паролей, пытающихся взломать ваш FTP-сервер. В этом примере FTP-сервер — маршрутизатор MikroTik. Чтобы защитить FTP-сервер за MikroTik, нужно использовать цепочку forward вместо цепочек input и output. Начальный этап (этап 1) добавляет IP-адрес во временный список адресов ftp_stage1 (таймауты через 1 минуту). А затем каждая попытка входа в течение минуты запускает следующие этапы (этап 2 - этап 4) до тех пор, пока не достигнет последнего этапа (этап 5), который добавляет IP-адрес в ftp_blacklist (таймауты через 1 неделю). Нужно изменить in-interface на что-то другое, если ether1 — это не сетевая карта (NIC), подключенная к Интернету. Это правило отбрасывает всех перечисленных подборщиков паролей / ip firewall filter
    add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
       comment="drop ftp brute forcers" disabled=no Это правило добавляет подборщиков паролей в черный список (четвертая попытка входа в течение минуты) / ip firewall filter
    add chain=output content="530 Login incorrect" dst-address-list=ftp_stage4 action=add-dst-to-address-list
       address-list=ftp_blacklist address-list-timeout=1w comment="auto-firewall ftp - stage 5" disabled=no Третья попытка входа (в течение минуты) / ip firewall filter
    add chain=output content="530 Login incorrect" dst-address-list=ftp_stage3 action=add-dst-to-address-list
       address-list=ftp_stage4 address-list-timeout=1m comment="auto-firewall ftp - stage 4" disabled=no Вторая попытка входа (в течение минуты) / ip firewall filter
    add chain=output content="530 Login incorrect" dst-address-list=ftp_stage2 action=add-dst-to-address-list
       address-list=ftp_stage3 address-list-timeout=1m comment="auto-firewall ftp - stage 3" disabled=no Первая попытка входа (в течение минуты) / ip firewall filter
    add chain=output content="530 Login incorrect" dst-address-list=ftp_stage1 action=add-dst-to-address-list
       address-list=ftp_stage2 address-list-timeout=1m comment="auto-firewall ftp - stage 2" disabled=no Начальный этап / ip firewall filter
    add chain=input in-interface=ether1 protocol=tcp dst-port=21 action=add-src-to-address-list
       address-list=ftp_stage1 address-list-timeout=1m comment="auto-firewall ftp - stage 1" disabled=no
     
     
     
    mrz
    Guest
    #2
    0
    23.07.2007 13:08:00
    Извини, моя ошибка: / ip firewall filter
    add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

    # разрешаем 10 неправильных входов в минуту
    / ip firewall filter
    add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

    # добавляем в чёрный список
    add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=blacklist address-list-timeout=3h Это работает нормально. Протестировано.
     
     
     
    jorj
    Guest
    #3
    0
    17.08.2007 08:53:00
    Проверено и работает. Еще один способ защитить вас: создайте учетную запись только с разрешением FTP. Это не должно сильно повлиять на ваш сервер. Также оставьте административную учетную запись без прав вообще и создайте еще одну на ваше имя. Это сделает еще сложнее для злоумышленника получить валидную пару логин/пароль для доступа к вашей сети.
     
     
     
    mrz
    Guest
    #4
    0
    24.08.2007 05:42:00
    Да, ты можешь использовать этот скрипт в своём туториале.
     
     
     
    Mactrekr
    Guest
    #5
    0
    10.04.2008 23:50:00
    мрз, похоже, у меня вообще не получается запустить твой скрипт. Я очень внимательно его ввёл и проверил в Winbox, но всё равно не работает. Даже после 12 неудачных попыток я всё ещё могу подключиться по SSH. Буду благодарен за любую помощь. Мак
     
     
     
    Mactrekr
    Guest
    #6
    0
    11.04.2008 04:47:00
    Да ладно, разобрался, работает теперь, спасибо!
     
     
     
    joie
    Guest
    #7
    0
    15.07.2015 17:08:00
    Только что попробовал внедрить этот скрипт, и он не работает. Использовал скрипт из вики, в котором не было указания интерфейса. http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_(FTP Ниже привожу скрипт, который я запускаю.

    add action=drop chain=forward comment="Drop FTP Brute Force" disabled=no
       dst-port=21 protocol=tcp src-address-list=ftp_blacklist

    add action=accept chain=forward comment="" content="530 1326" disabled=no
       dst-limit=1/1m,9,dst-address/1m protocol=tcp

    add action=add-dst-to-address-list address-list=ftp_blacklist
       address-list-timeout=3h chain=forward comment="" content="530 1326"
       disabled=no protocol=tcp

    Микротик не является FTP-сервером, поэтому я изменил цепочки с input/output на forward и обновил "530 Incorrect Login" в соответствии с ответом моего сервера, но все равно не работает. Я также пробовал добавлять интерфейс, а также использовать input/output вместо forward, но не показывает, что видит какой-либо трафик.

    С уважением,
    Joie
     
     
     
    mamadmade
    Guest
    #8
    0
    26.10.2015 11:10:00
    Кто-нибудь знает, как сделать так, чтобы это правило выдавало результат и отправляло его по электронной почте? Ну, что-то вроде отчета по почте из этого. Спасибо всем, кто сможет помочь!
     
     
     
    Страницы: 1
    Читают тему
    +7 495 320-55-52
    info@mikrotik.moscow
    Электрозаводская, Бауманская
    Москва, ул. Бакунинская, 84с21
    Конфиденциальность Оферта
    © 2025 «Mikrotik.Moscow»
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры