запрет брут форса l2tp и список доверенных клиентов

[ser19861]

ребят я новичок,обьясните что за адрес local-address=10.0.0.1 в этом правиле? в ppp profile у меня стоит vpn_pool

[xvo]

Адрес самого сервера.

[ser19861]

Адрес самого сервера.

спасибо,настроил правила все работает

[redangel666]

Давно dst-limit не пользовался, оказывается он срабатывает пока не достигнут порог, поэтому надо правило с лимитом поставить выше правила которое в список добавляет, как то так получается готовая схема выглядит.

Код: Выделить всё

/ip firewall filter
add chain=input action=drop protocol=udp src-address-list=l2tp_blacklist dst-port=1701,500,4500 log=no log-prefix=""
add action=accept chain=output content="M=bad" dst-limit=1/1m,2,dst-address/8m20s protocol=udp src-port=1701,500,4500
add action=add-dst-to-address-list address-list=l2tp-brutforce address-list-timeout=3d chain=output content="M=bad" protocol=udp src-port=1701,500,4500

из очевидных плюсов - порог срабатывания можно регулировать без добавления новых списков/правил просто меняя значения на вкладке extra правила которое разрешает вводить неверный пароль.

Все вроде бы выглядит красиво, но в реале не работает. На тесте проверено -подключаюсь с неверным пользователем или паролем. Неверный пароль отлавливается вторым правилом, но легко проходит через первое(drop). Не доходит до 3го,
Перенос drop в RAW не решает проблему.
Варианты в шагами Stage по добавлению в блэклисты тоже не отрабатывают, соединение устанавливается в L2TP одно.

[kreiz]

Зачем городить 3 списка, 3 правила, если можно сделать 1 вместо них, указав там рейт-лимит?
По сути получается 3 попытки в минуту.
это одним правилом делается

Код: Выделить всё

chain=output action=add-dst-to-address-list dst-limit=3/1m,3,src-address/300 address-list=l2tp_blacklist address-list-timeout=3d content="M=bad" log=no log-prefix=""

это 3 пакета в минуту, бёрст 3, смотреть по сорс адресу, за последние 5 минут(300 секунд).
Не хочу критиковать, просто действительно интересно зачем списки городить когда уже есть механизм готовый, он плохо работает?

Не могу понять в упор логику этого механизма

Код: Выделить всё

chain=input action=accept connection-state=new protocol=tcp    in-interface-list=WAN dst-port=8291,22 dst-limit=2/1m,2,src-address/5m    log=no log-prefix="" 

При таком вот правиле - какого-то черта он не срабатывает на третью попытку уже секунд через 5. Хотя, как ожидалось, счетчик должен быть актуален в течении минуты. Перепробовал разные вариации, добился того, чтобы оно работало так, как мне надо, но для этого приходится использовать абсолютно неинтуитивные параметры типа expire=733 и так далее. У меня знатно подгорает от этого. Я хочу, чтобы оно работало в соответствии с моими пожеланиями, я не подгадывать параметры. Кто-нибудь понимает, как оно работает? В доке все тоже описано через задницу, честно говоря..

[Axizdkr]

Не могу понять в упор логику этого механизма

Код: Выделить всё

chain=input action=accept connection-state=new protocol=tcp    in-interface-list=WAN dst-port=8291,22 dst-limit=2/1m,2,src-address/5m    log=no log-prefix="" 

При таком вот правиле - какого-то черта он не срабатывает на третью попытку уже секунд через 5. Хотя, как ожидалось, счетчик должен быть актуален в течении минуты. Перепробовал разные вариации, добился того, чтобы оно работало так, как мне надо, но для этого приходится использовать абсолютно неинтуитивные параметры типа expire=733 и так далее. У меня знатно подгорает от этого. Я хочу, чтобы оно работало в соответствии с моими пожеланиями, я не подгадывать параметры. Кто-нибудь понимает, как оно работает? В доке все тоже описано через задницу, честно говоря..

Скорее всего вводит в заблуждение burst, он даёт + к рейт лимиту. Вообще рейт лимиты они работают не так как хотелось бы.
https://habr.com/ru/company/southbridge/blog/329876/ - тут есть описание как работает рейт лимит на nginx, насколько я понимаю на микротике схема похожая. Без бёрста лажа будет, потому что может уже на 2й попытке заблочить.