PC Ekspert Forum - View Single Post

Perestrojka · 23.02.2016., 22:49

Nije ga full blokirao, vec koristi gotovi set rule-ova ( sto se obicno ne radi sa mtikom, ako ne znas o cem se radi

), koji postepeno siba source po ip listama, dok se svakoj slj listi povecava timeout, sto vodi do konacnog blocka ako source stigne na ssh blocklist lvl3.

Sto znaci da ce mu 22 biti slobodan, ukoliko nije par puta napravio novu konekciju u roku minute ( ono sta ovaj set ruleova uzima kao kriterij za blacklistanje source-a je ucestalost spajanja na port 22 u nekom kracem vremenu )

Ove probleme koje navodis imas zbog nedefiniranih in / out interfaceova, te router po defaultu uzima sve moguce konekcije koje prolaze ili dolaze s raznih porteva.

Za forward sa WAN-a u LAN 80 ( Pod predpostavkom da ti je WAN port ether1, a IP na koji zelis ostvariti forward 10.0.0.x, promjeni to na odgovarajuce postavke za svoju mrezu )

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=10.0.0.x to-ports=80

takodjer za bruteforce filtere, mozes koristiti nesto poput: "src-address-list=!white_list" , gdje ces u white_list listama imat predefinirano koje hostove zelis imat iskljucene iz filteringa, ili jednostavno ubacis 2 rule-a povrh svih, input / forward, action: accept, source address list: white_list ( sto ce automatski pustat sve whitelisteane adrese ( u tvom slucaju 10.0.0.0/24 ) i zaobilaziti ih u slj. rulovima ispod njih )

23.02.2016., 22:49	#7
Perestrojka CNE @ Verne global DC Moj komp Datum registracije: Feb 2015 Lokacija: Reykjavik, Iceland Postovi: 493	Nije ga full blokirao, vec koristi gotovi set rule-ova ( sto se obicno ne radi sa mtikom, ako ne znas o cem se radi ), koji postepeno siba source po ip listama, dok se svakoj slj listi povecava timeout, sto vodi do konacnog blocka ako source stigne na ssh blocklist lvl3. Sto znaci da ce mu 22 biti slobodan, ukoliko nije par puta napravio novu konekciju u roku minute ( ono sta ovaj set ruleova uzima kao kriterij za blacklistanje source-a je ucestalost spajanja na port 22 u nekom kracem vremenu ) Ove probleme koje navodis imas zbog nedefiniranih in / out interfaceova, te router po defaultu uzima sve moguce konekcije koje prolaze ili dolaze s raznih porteva. Za forward sa WAN-a u LAN 80 ( Pod predpostavkom da ti je WAN port ether1, a IP na koji zelis ostvariti forward 10.0.0.x, promjeni to na odgovarajuce postavke za svoju mrezu ) /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=10.0.0.x to-ports=80 takodjer za bruteforce filtere, mozes koristiti nesto poput: "src-address-list=!white_list" , gdje ces u white_list listama imat predefinirano koje hostove zelis imat iskljucene iz filteringa, ili jednostavno ubacis 2 rule-a povrh svih, input / forward, action: accept, source address list: white_list ( sto ce automatski pustat sve whitelisteane adrese ( u tvom slucaju 10.0.0.0/24 ) i zaobilaziti ih u slj. rulovima ispod njih ) Zadnje izmijenjeno od: Perestrojka. 23.02.2016. u 22:55.