Russian Users MikroTik | Форум пользователей MikroTik

MaxoDroid писал(а): ↑27 окт 2019, 15:50 А пусть нам автор укажет источник.

Не понял, зачем "нам" источник, откуда взят конфиг?
Источник как-то меняет работоспособность или что?!

MaxoDroid писал(а): ↑27 окт 2019, 15:50 А Вы, пожалуйста, покажите мне на WiKi пример правильной защиты прокидываемых портов.

В смысле?
Что вам мешает переписать этот конфиг из вики под свой случай?
Я же вроде вам объяснил в чем разница?
Или вы предполагаете, что на вики должны быть случаи конфига на все случаи жизни, которые друг от друга отличаются парой строчек, и инструкция, когда какой применять?

Временно отключите всё это, подключитесь и посмотрите в Connections: может правда несколько соединений активных нужно для нормальной работы.

MaxoDroid писал(а): ↑27 окт 2019, 15:50 А пусть нам автор укажет источник.
А Вы, пожалуйста, покажите мне на WiKi пример правильной защиты прокидываемых портов.

Вот пример для проброса портов RDP от Ильи Князева
https://weblampa.ru/mikrotik/srezaem-br ... ik-om.html

Остальные примеры используют цепочку input, потому что имеют целью защитить сам роутер. Потому и на примерах вроде с SSH и т.п.

xvo писал(а): ↑27 окт 2019, 11:38 "new" - это статус соединения в connection tracker'е микротика, а не tcp флаг.

Т.е. таблица состояний сессий у роутера своя, а сервер ведет свою "статистику"?
Если флаг SYN маршрутизатором для контроля трафика не используется, тогда почему статус established есть только у TCP-подключений?
https://wiki.mikrotik.com/wiki/File:2009-01-26_1346.jpg

xvo писал(а): ↑27 окт 2019, 16:28 Временно отключите всё это, подключитесь и посмотрите в Connections: может правда несколько соединений активных нужно для нормальной работы.

Действительно, при перезагрузке страницы на несколько секунд открывается три ТСР-подключений со статусом Time wait и established . После ввода логина-пароля открытых подключений становится восемь.
Значит, число стадий stage_хх нужно увеличивать? Сколько сделать, восемь, десять, с учетом, что пользователь потом полезет в письма и контакты?

Ведет свою, параллельную, причем она применима и для других протоколов, не только для TCP. Для которых общепринятого понятия соединения то и нет как такового.

А TCP-флаги вы тоже можете использовать при желании, для этого есть отдельный matcher: tcp-flags.

Собственно в этой колонке состояние TCP и отображается в абсолютно стандартном смысле (что даже видно по названию и по состояниям).

Chai писал(а): ↑27 окт 2019, 18:20 Действительно, при перезагрузке страницы на несколько секунд открывается три ТСР-подключений со статусом Time wait и established . После ввода логина-пароля открытых подключений становится восемь.
Значит, число стадий stage_хх нужно увеличивать? Сколько сделать, восемь, десять, с учетом, что пользователь потом полезет в письма и контакты?

Я думаю лучше не количество стадий увеличивать, а попробовать в правила для каждой стадии добавить лимиты либо для количества соединений, либо для количества первых открывающих эти соединения пакетов: connection-limit и dst-limit соответственно.

Ещё вот какая мысль.
Что происходит при вводе неправильного пароля?
Может быть имеет смысл добавлять в список не на основе открываемых соединений, на основе закрываемых?

Я прочитал тему Ильи Князева.
Обратите внимание, что он предлагает обрабатывать запросы специально созданной цепочкой "chain=check-bruteforce", к которой он отсылает все цепочки "chain=forward", перенаправляемые на обработку по указанному порту по протоколам tcp и udp.
Если перебор продолжается, то ломящийся навсегда остается в бане, а соединение после проверки дропается.
Вы, как мне кажется, несколько неверно переделали правило, предлагаемое Ильей Князевым.

А ещё 443 порт используется Микротиком как порт управления по WWW-ssl (IP Service List). Может быть в этом и есть загвоздка?

MaxoDroid писал(а): ↑27 окт 2019, 18:38 Может быть в этом и есть загвоздка?

Чукча не читатель, чукча писатель.
В чем проблема уже выяснили.
Вопрос, как её теперь решить.

xvo писал(а): ↑27 окт 2019, 18:47 Чукча не читатель, чукча писатель.

Писал ответ, не обновив страницу.
Теперь я стал Чукчей Прошу модеров поменять мое имя с "MaxoDroid"
на "Чукча"