Bom dia a todos!
Estes dias eu comecei a receber muitos ataques por boot pela minha porta ssh, então vi que a Mikotik tem um script no próprio site que faz uma black list de acordo com os erros, ou seja se o atacante tentar atacar e errar a senha pela primeira vez fica na listra negra por 1 minuto, caso persista fica mais um tempo, se continuar tentando acessar e errar novamente login e senha fica por dez dias.
E se persistir leva drop. Como foi de grande utilidade para mim estou postando o script, como falei não foi eu que fiz está no próprio wiki da MK.
Segue o script:
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
link original: https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Respostas
Sim , verdade... No link que mandei tem a regra para forward tb.
Mas com esta regra acima já ira ajudar muito em quem sofre atques.
Rodrigo Alexandre lourenço disse:
ok esta correto mas é necessário fazer para o forward também!! e accept somente para o ip de sua confiança, sua ap cpe mk-auth etc esta no forward, input é seu proprio roteador.
Vamos se proteger amigos.