Как мога да забраня този IP адрес

[DonRamon]

От два дни ми излиза в лога на микротика че някой се опитва да се логне ИПто винаги е едно и също вчера имах над 800 опита за лог та идеята ми е дали мога да го забраня това ИП

първото червено поле е от мен просто обърках паролата

прилагам снимка на лога:

Редактирано 19 Октомври, 2012 от DonRamon

[danielskiii]

/ip fi fi add action=drop chain=forward disabled=no src-address=199.26.84.69

Редактирано 19 Октомври, 2012 от danielskiii

[DonRamon]

/ip fi fi add action=drop chain=forward disabled=no src-address=199.26.84.69

Може би имаш предвид:

/ip firewall add action=drop chain=forward disabled=no src-address=199.26.84.69

?

Редактирано 19 Октомври, 2012 от DonRamon

[danielskiii]

/ip firewall filter add action=drop chain=forward disabled=no src-address=199.26.84.69 онова горното е скъсения вариянт

[DonRamon]

/ip firewall filter add action=drop chain=forward disabled=no src-address=199.26.84.69 онова горното е скъсения вариянт

Благодаря ти!

[danielskiii]

Защо не смениш SSH порта или пък просто не добавиш да блоква SSH bruteforcer-ите?

[111111]

защо не четеш тук

[Mupo neTkoB]

От мен предложение: сменяш порта на ssh, или изобщо го спираш

[DonRamon]

Атаките продължават тази нощ над 1600 опита този път от друго ИП по информация от гугле е корейско ИП първото беше Тексас Далас

Как да го спра порта през който ме атакуват? или както е писал Даниелски да ги блокира брутефорсерите начинаещ съм в МТ

кода който е предложил 111111 вече съм го вкарал в файърлола достатъчно ли е това?

Редактирано 20 Октомври, 2012 от DonRamon

[111111]

ако в IP Firewall addressees list почне да се пълни значи правилото работи

[solar_sea]

Ако трафикът не ти пречи, що не го оставиш да си чупи главата ? Нямаш user root .. смени и нормални админ на нещо криво, голяма парола и гледай как само ще харчи ток ..

[Mitko]

Аз съм го реализирал по следния начин за всички "чувствителни" портове:

/ip firewall filter

add action=accept chain=input comment="Allowed SSH" disabled=no dst-port=22 protocol=tcp src-address-list=SSH

...

...

Последно правило

add action=drop chain=input comment="Drop everything else" disabled=no

В адрес листа с име SSH са описани айпитата от които се логваш дистанционно. Това е в случай, че се логваш от статични адреси които ползваш.

Втори вариант - пускаш PPTP сървър на машината, създаваш си акаунт и се връзваш по PPTP и я администрираш.

Редактирано 20 Октомври, 2012 от Mitko

[syscom]

Смени си портовете.

[master]

Както каза solar_sea, ако са ти сменени усера и паса с по-нормални и няма кой знае какъв трафик да се забавлява момчето Сменяй портовете на всичко и толкова.

[borisoff]

Ако се смени порта, може ли да бъде открит отново и да се разбере какво е пуснато на него?

[solar_sea]

Да, разбира се. Или ползвай нестандартен порт, логин и парола, или го сложи изцяло за вътрешно ползване и използвай някой здрав vpn и през него, както вече ти казаха.

Нали знаеш, двете основни правила на компютърната сигурност:

1) Не си купувайте компютър

2) Ако случайно си купите, не го включвайте.