Код: Выделить всё
К примеру
http://myip:8087/securekey/scriptname
Код: Выделить всё
Отловится правилом
ip firewall nat add chain=dstnat protocol=tcp dst-port=8087 layer7-protocol=scriptName action=<на усмотрение>
RegExp как API
Правила форума
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.
-
Brook
- Сообщения: 156
- Зарегистрирован: 24 май 2022, 00:29
Чтобы не использовать сервис www, нужно отлавливать пакеты в NAT, в цепочке dstnat.
-
Inner
- Сообщения: 250
- Зарегистрирован: 01 июл 2020, 16:02
Думаю, если использовать сложные логин и пароль - ничего страшного не случится. У меня 3 устройства смотрят стандартным winbox'ом в интернет. И всё хорошо уже лет 5. Главное своевременно обновлять ros и банить ip с неудачными попытками входа.
-
Inner
- Сообщения: 250
- Зарегистрирован: 01 июл 2020, 16:02
А это отличная заплатка в безопасности. Решает кучу проблемBrook писал(а): ↑11 авг 2022, 15:18 Чтобы не использовать сервис www, нужно отлавливать пакеты в NAT, в цепочке dstnat.
Код: Выделить всё
К примеру http://myip:8087/securekey/scriptnameКод: Выделить всё
Отловится правилом ip firewall nat add chain=dstnat protocol=tcp dst-port=8087 layer7-protocol=scriptName action=<на усмотрение>
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
С чего бы?
Та же история, что и с цепочкой prerouting - нужна установленная TCP сессия, если на этом конце сессию никто не установит, то http request клиент не отправит.
Ну вот в 18ом году много у кого случилось, без разницы, какой там был пароль :)
Telegram: @thexvo
-
Inner
- Сообщения: 250
- Зарегистрирован: 01 июл 2020, 16:02
Суть dst-nat в том, что можно 80 порт (или иной) переправить на что-то внутри. И просто перехватывать правилом L7 нужную ключевую пару. А касательно логина и пароля, я ж ещё добавил, что главное своевременно обновляться. Конечно использовать дополнительно нестандартный порт однозначно нужно. Но это уже базовые вещи.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
Brook
- Сообщения: 156
- Зарегистрирован: 24 май 2022, 00:29
Друзья, в этом варианте никакой установленной сессии не нужно
Мы ловим SYN пакеты и никуда дальше их не отправляем. В поле action ставим add-dst-to-address-list и получаем тот же профит, что и с mangle
Код: Выделить всё
ip firewall nat add chain=dstnat protocol=tcp dst-port=8087 layer7-protocol=scriptName action=add-dst-to-address-list address-list=scriptName
-
Inner
- Сообщения: 250
- Зарегистрирован: 01 июл 2020, 16:02
Ну, это может быть почти что угодно. Лишь бы оно могло ответить. В минимальной комплектации www включить на нестандартный порт. В средней, развернуть за роутером что-то что сможет ответить на запрос и форвордить туда (соответственно отлавливать). Максимальную даже сложно представить
Можно ж и порт кнокинг, и впн, и нестандартную длину пакета, и что-то за роутер, и вообще всё вместе. И наступит однажды день, когда и этого всего вместе окажется мало.Но Ваш вопрос понятен. Нужно что-то максимально безопасное и в тоже время простое. Это интересно. Нужно подумать. Покачто идей мало, как это сделать в рамках одного роутера. Чуть позднее попробую доп правило на инпут по порту и скриптом ответы запросившему адресату. Чисто чтобы правило отработало. А может чего и ещё придумаю поинтереснее.
-
Inner
- Сообщения: 250
- Зарегистрирован: 01 июл 2020, 16:02
Только что пробовал. Не ловит. Грешу на фаервол. С www проще, так как он игнорирует правила.Brook писал(а): ↑11 авг 2022, 16:26 Друзья, в этом варианте никакой установленной сессии не нужно
Мы ловим SYN пакеты и никуда дальше их не отправляем. В поле action ставим add-dst-to-address-list и получаем тот же профит, что и с mangleКод: Выделить всё
ip firewall nat add chain=dstnat protocol=tcp dst-port=8087 layer7-protocol=scriptName action=add-dst-to-address-list address-list=scriptName
-
Brook
- Сообщения: 156
- Зарегистрирован: 24 май 2022, 00:29
А у меня всё отработало.
Тут прописал порт 8087, можно любой прописать...
http://myip:8087/securekey/scriptname
Тут его указал... В layer7 выбрал правило Regexp
ip firewall nat add chain=dstnat protocol=tcp dst-port=8087 layer7-protocol=scriptName action=add-dst-to-address-list address-list=scriptName
Поймал пакеты. Адрес-лист создался... ЧЯДНТ?
Тут прописал порт 8087, можно любой прописать...
http://myip:8087/securekey/scriptname
Тут его указал... В layer7 выбрал правило Regexp
ip firewall nat add chain=dstnat protocol=tcp dst-port=8087 layer7-protocol=scriptName action=add-dst-to-address-list address-list=scriptName
Поймал пакеты. Адрес-лист создался... ЧЯДНТ?