搜尋
搜尋
  • 860

[研究所] MikroTik RouterOS 學習 (持續更新)

前往頁尾
wwweagle
wwweagle
wwweagle
  • wwweagle
  • 個人積分:4分
    文章編號:63517521
4分
5611樓
2017-03-03 13:39

wwweagle wrote:
今天看log紀錄,...(恕刪)


把rule拉到開啟port的前面就會動作了
官方的rule
/ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

運作模式應該是一樣的,port部分可以加入23
ba2001
ba2001
ba2001
  • ba2001
  • 個人積分:0分
    文章編號:63532655
0分
5612樓
2017-03-05 0:46
想請教各位 有人遇到這種有趣的紀錄嗎

事主是一台 SONY手機 , 不知道當事者是做了什麼 讓他的手機進行大規模的掃瞄

我懷疑是某種APP還是什麼的 , 因為都是私人IP 但我這邊的區網 又不是使用該區段 所以覺得很怪異

掃描區段
10.163.102.1 ~ 10.163.102.254

10.163.11.1 ~ 10.163.11.254

gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:63533758
1603分
5613樓
2017-03-05 8:13
ba2001 wrote:
想請教各位 有人遇到...(恕刪)
您說的這些區段是內部網路所使用,不是外部的.
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:63534668
1603分
5614樓
2017-03-05 10:50
wwweagle wrote:
把rule拉到開啟p...(恕刪)
這種方式還是有缺點,每隔1m1s才trying一次防火牆就防不了了
wwweagle
wwweagle
wwweagle
  • wwweagle
  • 個人積分:4分
    文章編號:63540566
4分
5615樓
2017-03-05 23:08

gfx wrote:
這種方式還是有缺點...(恕刪)


後來再ip/services裡面把ssh/telnet訪問來源限定在內網(192.168.88.0/24)
我看防火牆裡面,address lists裡面也有被block的ip,這邊就不太清楚了?
log紀錄裡面也沒有記錄異常登入的IP
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:63540713
1603分
5616樓
2017-03-05 23:25
wwweagle wrote:
後來再ip/services...(恕刪)
最妥善的方式是把遠端的ip或ddns存到address-list=ssh ,
然後在/ip firewall raw裡新增:
add action=drop chain=prerouting protocol=tcp dst-port=22,23 \
src-address-list=!ssh dst-address-type=local in-interface=pppoe-out1

除了list記錄的用戶,其它陌生ip都不允許連結.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
44512分
5617樓
2017-03-06 1:16
.最近的主題走向蠻值得回味回味的
人品是做人最好的底牌.
阿理不達
阿理不達
阿理不達
83分
5618樓
2017-03-09 1:35
最近買了一台RB2011UiAS-IN
我用群暉的NAS..其中WABDAV一直搞不定
之前用的ROUTER都OK..就RB2011UiAS-IN這台一直連不進去
轉址都設定了還是不行...也還找不到原因
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
44512分
5619樓
2017-03-09 10:11
v6.38.4‍‍‍‍‍
NeverGiveUp!! wrote:
v6.38.3...(恕刪)

人品是做人最好的底牌.
jeremy9678
jeremy9678
jeremy9678
67分
5620樓
2017-03-09 15:46

NeverGiveUp!! wrote:
v6.38.4&zwj...(恕刪)


請問我更新後發現wifi模組消失囉!無線介面也不見了??
winbox也沒可以設定葉!大家會嗎??
  • 860
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 860)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?