Denied winbox dude connect from на микротике что это
Reddit and its partners use cookies and similar technologies to provide you with a better experience.
By accepting all cookies, you agree to our use of cookies to deliver and maintain our services and site, improve the quality of Reddit, personalize Reddit content and advertising, and measure the effectiveness of advertising.
By rejecting non-essential cookies, Reddit may still use certain cookies to ensure the proper functionality of our platform.
For more information, please see our Cookie Notice and our Privacy Policy .
Get the Reddit app
A community-contributed subreddit for all things Mikrotik. General ISP and network discussion also permitted. Please ensure if you're asking a question you have checked the Wiki First: https://help.mikrotik.com
Hello Tik community.
Your help with solving a firewall mystery will he appreciated.
My firewall rules are listed bellow. Basically I drop all dst-port=8291 chain input, except for 2 external IPs. Yesterday evening I got "denied winbox/dude connect from 117.202.126.x" warning in the logs. It is clear that "/ip services winbox" denied the login, but how did it went through the firewall ?.
Thanks for all comments.
# nov/04/2020 10:59:45 by RouterOS 6.47.6 # software model = RB760iGS # serial number = A3. /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh address=192.168.200.0/24 set api disabled=yes set winbox address=192.168.200.0/24 set api-ssl disabled=yes /ip firewall address-list add address=1.1.1.1 comment=shem list=myExtIps add address=2.2.2.2 comment=ks_pr_hm list=myExtIps /ip firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="Allow WinBox from WAN" dst-port=8291 protocol=tcp src-address-list=myExtIps add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp src-address-list=myExtIps add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
Дополнительная защита микротик, бан dude connect from (додики)
— данное сообщение в логах микротика возникает тогда, когда кто-то пытается получить доступ через WINBOX, но его ip адрес не прописан в сервисе winboxa. Т.е. этот вероятный злоумышленник или робот пытается получить доступ, а доступа нет. С одной стороны не стоит сразу паниковать и думать что Вас ломают, но если лезут значит надо принимать меры ещё на шаг раньше.
После неоднократных взломов Микротика и постоянно образующихся новых дыр в безопасности устройства решил собрать список негодяев пытающихся заломиться через winbox несмотря на то что сервис открыт только для определённых ip адресов. Все эти негодяи попадают в логи с сообщениями
Чтобы достать ip адреса из лога потребуется несложный парсер логов устройства который можно добавить в планировщик с периодическим повторением.
Выполняя скрипт парсер найденный ip адрес будет добавлять IP -> Firewall -> Address-list.
Далее делайте с ним что угодно: хотите баньте правилами фаервола, хотите коллекционируйте, хотите шлите на мыло, вобщем что угодно, я баню на определённое количество часов, дней, лет…
Denied winbox dude connect from на микротике что это
В условиях самоизоляции появилась возможность уделить больше внимания своему сетевому хозяйству.
Листая журналы своих Mikrotik-ов обратил внимание на периодические настырные попытки залогиниться на роутеры, подобные таким:
«Mmm/dd/yyyy hh:mm:ss disk system, error, critical login failure for user system from 117.248.147.203 via api»
Захотелось автоматизировать процесс нейтрализации всех желающих поживиться чужими девайсами 🙂
В качестве прототипа, откуда была подчерпнута идея, использовал этот код vqd:
На выходе у меня получился такой скрипт, который запускаем по расписанию с нужной периодичностью:
Как это работает:
1. В журнале выискиваются все строки, указывающие на неудачную попытку залогиниться на роутер
2. Из каждой найденной строки вычленяется login и ip-адрес, с которого пытались залогиниться
3. Полученный login проверяется на предмет отсутствия в списке имен активных пользователей Mikrotik-а (такого user-а не существует),
4. Полученный ip-адрес проверяется на наличие в черном списке. Если его там нет, тогда добавляется в черный список.
Ну и чтоб взлетело, добавим в Firewall/Filter Rules правило, которое будет глушить все попытки достучаться до нашего роутера с выявленных IP-адресов:
Конструктивные замечания и улучшения только приветствуются.
—————————-
UPDATE of 2022: Скрипт развивается. Используйте актуальную версию скрипта. Её вы найдёте в конце этой ветки форума.
Правила для mikrotik firewall
Правила для гостевой сети MikroTik
Добрый день! Есть MikroTik на RouterOS в котором имеется местная сеть и гостевая. Из гостевой сети.
firewall mikrotik найти команд как у cisco/huawei
Здравствуйте коллеги! Возможно море тем на этот вопрос но как добавить acl (пример мой хуавей) .
Непонятное поведение MikroTik hEX и MikroTik hAP
Имеется два устройства: MikroTik hEX RB750Gr3 MikroTik hAP ac² hEX является первым.
Создание правила для Апатча в Outpost Firewall
Помогите пожалуйста настроить правила для Апатча в outpost firewall, а то не могу разобраться как.
опять же если это https то не взлетит
есть вариант, если это рабочие ПК, и есть машина с линуксом, установить на рабочие ПК свой сертификат СА, на линуксе поднять апач, виртуальные хосты, нагенерить сертификаты и на микротике заворачивать на этот веб сервер, а там уже заглушки с произвольным меседжем
муторно, не быстро, но работать будет, а если пользователи продвинутые и поставят расширение VPN в хром, то и это не поможет
Сообщение было отмечено mailomsk как решение
Решение
Сообщение от mailomsk
Сообщение от .None
Сообщение от mailomsk
| Меню пользователя @ romsan |
Разъясните пожалуйста.
Есть правило "check bruteforce for VPN" есть blackist, и есть в блэклисте IP 185.232.67.13.
Но не смотря на это, в логах довольно часто вижу следующее:
Сообщение от Konstantin®
Сообщение от romsan
Сообщение от Konstantin®
и пакеты поступают на роутер, но не как не уходят с него. Или же твои правила фильтрует ответы роутера о неудачной авторизации? Т.е. все таки пакеты от злоумышленника поступают на роутер, он выполняет авторизацию, и только по ответным данным идет фильтрация!? Ну возможно, это тоже действенный вариант. Я про него не читал, компетентно ответить не могу.
Вобщем вот твои правила: (фильтрация не работает)
36 ;;; check bruteforce for VPN
chain=input action=reject reject-with=icmp-network-unreachable src-address-list=vpn_blacklist
37 chain=output action=add-dst-to-address-list dst-address-list=vpn_blacklist_l3 address-list=vpn_blacklist
address-list-timeout=2w content=M=bad
38 chain=output action=add-dst-to-address-list dst-address-list=vpn_blacklist_l2 address-list=vpn_blacklist_l3
address-list-timeout=1m content=M=bad
39 chain=output action=add-dst-to-address-list dst-address-list=vpn_blacklist_l1 address-list=vpn_blacklist_l2
address-list-timeout=1m content=M=bad
40 chain=output action=add-dst-to-address-list address-list=vpn_blacklist_l>
address-list-timeout=1m content=M=bad
Вот мои правила: (фильтрация работает)
21 ;;; BRUTFORCE — PPTP
chain=input action=jump jump-target=check-bruteforce connection-state=new protocol=tcp in-interface-list=WANs dst-port=1723
22 chain=check-bruteforce action=add-src-to-address-list connection-state=new src-address-list=bruteforce-stage-3 address-list=bruteforcer address-list-timeout=1d in-interface-list=WANs
23 chain=check-bruteforce action=add-src-to-address-list connection-state=new src-address-list=bruteforce-stage-2 address-list=bruteforce-stage-3 address-list-timeout=1m in-interface-list=WANs
24 chain=check-bruteforce action=add-src-to-address-list connection-state=new src-address-list=bruteforce-stage-1 address-list=bruteforce-stage-2 address-list-timeout=1m in-interface-list=WANs
25 chain=check-bruteforce action=add-src-to-address-list connection-state=new address-list=bruteforce-stage-1 address-list-timeout=1m in-interface-list=WANs
Я понимаю, что существует множество способов выполнять фильтрацию, анализировать и критиковать тот или иной способ я не компетентен. Я показал, как у меня блокируются желающие подключиться к VPN. Использовать их или нет — выбор твой.