Акмалов Артур

Mikrotik защита L2TP brute-force

Список правил в Firewall Router OS который защитит от перебора паролей на L2TP.

/ip firewall filter
add action=accept chain=input dst-port=500,1701,4500 protocol=udp src-address-list=TRUSTED
add action=drop chain=input dst-port=500,1701,4500 protocol=udp src-address-list=BLOCK
add action=add-src-to-address-list address-list=BLOCK address-list-timeout=7d chain=input connection-state=new dst-port=500,1701,4500 protocol=udp src-address-list=l2tp_4
add action=add-src-to-address-list address-list=l2tp_4 address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 protocol=udp src-address-list=l2tp_3 
add action=add-src-to-address-list address-list=l2tp_3 address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 protocol=udp src-address-list=l2tp_2 
add action=add-src-to-address-list address-list=l2tp_2 address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 protocol=udp src-address-list=l2tp_1 
add action=add-src-to-address-list address-list=l2tp_1 address-list-timeout=1m chain=input connection-state=new dst-port=500,1701,4500 protocol=udp
add action=accept chain=input dst-port=500,1701,4500 protocol=udp 

Теперь подробный разбор по строкам. (#В filter rules порядок имеет значение)

1. Разрешаем подключения по l2tp портам для адрес листа «TRUSTED»

2. Дропаем подключения с адрес листа «BLOCK»

3. Далее идет пошаговое перекидывание по адрес листам, если вдруг кто то реально неправильно ввел пароль, имеется несколько попыток и работает только на новые соединения. После каждой попытки установить новое соединение адресата (src) будет перекидывать по листам с l2tp_1 до l2tp_4 последняя попытка добавит этот адрес в блок лист «BLOCK» на 7 дней, у которого закрыты L2TP порты. 

Следующим шагом для успешно установленных соединений необходимо добавить их в адрес лист «TRUSTED» для которого открыты все необходимые порты и не будет каждый раз гонять по списку. Сделать это можно так:

В PPP — > Profile который используется для l2tp -> Scripts -> On Up 

Команда которая запустится при успешном подключении к L2TP

/ip firewall address-list add list=TRUSTED address=$»caller-id» timeout=7d

Подписаться
Уведомить о
guest
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии