Forum

Bloqueio de ssh externo

Postado por Fernando Gomes em 6 de Outubro de 2010 às 10:34pm
olá galera, todos nós sabemos que pro bom funcionamento do Mk-auth precisamos da porta 22 liberada em nosso servidor, mas o que acontece é que tenho visto mais de mil tentativas de acesso via ssh no meu servidor. existe uma regra em que eu possa liberar o ssh somente do ip do mk-auth? fiz um teste aqui em ip>services e no servico de ssh eu coloquei o ip do mk-auth em avaibile from será que só isso resolve?

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: ajuda, controle, ip, login, sitema, ssh, uso
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Fábio Alencar da Silva Sant' Ana 6 de Outubro de 2010 as 11:20pm
    Com certeza, pois ali vc esta especificando que apenas aquele IP vai acessar o serviço de ssh
  • Flavio 7 de Outubro de 2010 as 9:49am
    E ai amigao vc fez? Deu certo? e vai atrapalhar em alguma outra função?
  • Fábio Alencar da Silva Sant' Ana 7 de Outubro de 2010 as 10:26am
    Só atrapalha se vc tentar conectar vi ssh que não seja pelo IP do mk-auth, não vai conseguir !!
  • Fernando Gomes 7 de Outubro de 2010 as 7:01pm
    amigo eu fiz aqui sim e aparentemente as tentativas externas. a unica coisa que observei mais por favor me digam se acontecesse ai é uma mensagem de erro diretamente do mk-auth como login failure from user mkauth from 172.31.255.2 via ssh. é normal?
  • Clístenis Batista Amorim 11 de Outubro de 2010 as 3:25pm
    Pessoal, vou fazer alguns testes para tirar as dúvidas mais:

    * O MK-AUTH não recebe conexão de nenhuma torre por SSH;
    * Apenas o Administrador de Redes que conectará no MK-AUTH via SSHD para administração ou manutenção.

    Eu aconselharia você acessar o arquivo de configuração do SSH e alterar a porta.

    Ps: Apenas o MK-Auth que irá se conectar na(s) torre(s) via SSH e nada mais.

    Att.

    Clístenis (me corrijam se eu estiver errado.).
  • Leandro Cesar Souza 11 de Outubro de 2010 as 3:35pm
    Olha o anti-brute force tirado da wiki da mikrotik:


    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
    add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO2
    add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO1
    add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp

    você pode aumentar o diminuir o tempo de cada coisa ai para nao haver conflitos, ok. qualquer duvidas basta postar.
  • Flavio 11 de Outubro de 2010 as 6:30pm
    O que isso faz amigo e como implantar?

    Leandro Cesar Souza disse:
    Olha o anti-brute force tirado da wiki da mikrotik:


    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
    add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO2
    add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO1
    add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp

    você pode aumentar o diminuir o tempo de cada coisa ai para nao haver conflitos, ok. qualquer duvidas basta postar.
  • Fernando Gomes 11 de Outubro de 2010 as 10:46pm
    aqui como eu uso somente 1 MK pra autenticar no mk-auth entao eu coloquei o ip do mk-auth no ip>services e parou as tentativas de ataque externo
This reply was deleted.