سعی در دسترسی غیر مجاز به میکروتیک

**th95** · 2010-11-10, 10:40 PM

سلام
من داشتم با user manager و .. ور میرفتم
رفتم سرغ لاگ یه نکته ای دیدم
یکی دو تا ای پی ولید هستند که دارند با ssh یا telnet ظاهرا سعی میکنند غیر مجاز وصل بشن
انواع یوزرهای test و admin ئ root و ... هم دیده میشه
حدس من درسته ؟ دارن سعی میکنند حال من رو بگیرن و میکروتیک رو بترکونند ؟

برای بستن دسترسی این ای پی ها و کلا اتصال به میکروتیک (چه برای هات اسپات یوزرها چه برای مدیریت و وین باکس و ..) چگونه باید Rule تعریف کرد ؟

موضوعات مشابه:

**mohammadlinux** · 2010-11-10, 10:52 PM

به اینا زیاد توجهی نکن
معمولا از چین یه دیکشنری گذاشتن دارن پسورد تست میکنن
شما میتونی با اضافه کردن 1 رول در فایروال جلوشو بگیری و آی پیش رو بلاک کنی
اگه خواستی بگو

**th95** · 2010-11-11, 07:33 AM

اگه خواستی بگو

خوب خواستم دیگه ! مگه نخواستم ؟ شما که میخوای لطف کنی کمک کن دیگه ! نیکی و پرسش

الان میبینم ای پی ها زیاد تر شدن
من میخوام کلا ای پی ها از بیرون (به غیر از یکی دو تا که خودم میگم) بخورن تو دیوار و البته برای ارتباط اینترنتی مشکل ایجاد نشه

**SADEGH65** · 2010-11-11, 08:12 AM

سرویس های غیر مورد نیاز را غیر فعال کنید و برای باقی سرویس ها هم محدوده IP برای دسترسی میتوانید تعریف نمایید.
IP - Service

در بخش فایروال هم که دیگر باید بدانید فایروال در سیستم به چه نوعی عمل میکند و برای محدودیت دسترسی به دیوایس و یا شبکه خود میتوانید از طریق آن عمل کنید.
یعنی بعد از اینکه رنج های ورودی مجاز را تعریف کردید یک خط فایروال با Chain: Input و Action : Drop تعریف نمایید .( فقط باید قبل از آ« رنج شبکه داخلی و یا لیست IP های مجاز را در رول دیگری در همین Chain و با اکشن Accept مجاز کرده باشید و در غیر این صورت دترسی شما به سیستم قطع خواهد شد. ( اولوت این فیلتر رول ها مهم است )

**th95** · 2010-11-11, 08:37 AM

ممنون

در بخش فایروال هم که دیگر باید بدانید فایروال در سیستم به چه نوعی عمل میکند و برای محدودیت دسترسی به دیوایس و یا شبکه خود میتوانید از طریق آن عمل کنید.

آره ولی باید یه ذره کار کنم قلق ها و اصطلاحات میکروتیک مانند Chain و Masquerade و نوع فیلتر کردنش دستم بیاد

علی الحساب اینها رو گذاشتم

add chain=input connection-state=established comment="Accept established connections"
add chain=input connection-state=related comment="Accept related connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings"
add chain=input protocol=icmp action=drop comment="Drop excess pings"
add chain=input in-interface=ether2 src-address=192.168.0.0/24 comment="From our LAN" action=accept
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"

**M-r-r** · 2010-11-11, 11:17 AM

وارد بخش سرویس ها شده و پورت های همه سرویس ها از جمله ftp,ssh,ftp,... را غیر از winbox عوض کنید. از همه این شر ها خلاصی پیدا میکنید.

**mohammadlinux** · 2010-11-11, 11:34 AM

این دستورات رو وارد کن

ip firewall filter add chain=input connection-state=new pro
tocol=tcp dst-port=21-23 limit=5/5m,5 action=accept
----------------------
ip firewall filter add chain=input connection-state=new protocol=t
cp dst-port=21-23 limit=5/5m,5 action=add-src-to-address-list address-list=block addre
ss-list-timeout=12:00:00
-----------------------------
ip firewall filter add chain=input src-address-list=block action=dr
op
-------------------------------------

دستور اول میزان کانکشن زدن رو در هر لحظه تعیین میکنی.قسمت پورت هم که معلومه
در دستور دوم اون کسی رو که از حد مجاز تخطی کرده رو توی یه لیست به نام بلاک میذاره،به مدت 12 ساعت که میتونی اونو کم و زیاد کنی
دستور سوم هم اون لیست رو بلاک میکنه
----------------------------------------------
من تست کردم داره کار میکنه ضمنا پورت telnet رو هم ببندید ،بهتره و فقط SSH باز باشه

**th95** · 2010-11-11, 11:36 AM

پورتها رو عوض کردم
وینباکس رو چرا نه ؟ وین باکس رو نمیشه از بیرون (اینترنت) بهش وصل شد ؟

البته یه مشکلی هم که الان دارم (با این رولهای بالا) اینه که خودم از پشت یک کلاینت نمیتونم به میکروتیک تلنت یا اس اس اچ یا وب ... کنم

نوشته اصلی توسط mohammadlinux

این دستورات رو وارد کن

ip firewall filter add chain=input connection-state=new pro
tocol=tcp dst-port=21-23 limit=5/5m,5 action=accept
----------------------
ip firewall filter add chain=input connection-state=new protocol=t
cp dst-port=21-23 limit=5/5m,5 action=add-src-to-address-list address-list=block addre
ss-list-timeout=12:00:00
-----------------------------
ip firewall filter add chain=input src-address-list=block action=dr
op
-------------------------------------

دستور اول میزان کانکشن زدن رو در هر لحظه تعیین میکنی.قسمت پورت هم که معلومه
در دستور دوم اون کسی رو که از حد مجاز تخطی کرده رو توی یه لیست به نام بلاگ میذاره
دستور سوم هم اون لیست رو بلاک میکنه به مدت 12 ساعت که میتونی اونو کم و زیاد کنی
----------------------------------------------
من تست کردم داره کار میکنه

خیلی خوبه
ولی خوب ای پی ها عوض میشن
بهترین کار به نظرم اینه که کلا بگیم از بیرون (از اینترفیس فلان) کسی نتونه به روتر وصل بشه

**mohammadlinux** · 2010-11-11, 11:41 AM

باشه این قدر ای پی عوش کنه تا بترکه
همین که 1 لحظه سرعت کانکشن زذنش بالابره سریع بلاک میکنه

**almas455** · 2010-11-11, 02:31 PM

بهترین کار عوض کردن پورت ها است

**3hsan** · 2010-11-12, 01:25 AM

نوشته اصلی توسط mhdganji

بهترین کار به نظرم اینه که کلا بگیم از بیرون (از اینترفیس فلان) کسی نتونه به روتر وصل بشه

مثلا اگه بخوایم اینترفیس wan رو هم از بیرون و هم داخل شبکه کسی نتونه بهش وصل بشه و اینترفیس lan رو هم فقط مثلا 2 تا ip تعیین شده داخلی بتونن بهش وانباکس بزنن چیکار باید کرد؟
بنویسید...
در ضمن جناب amin djoneidi اگه پورت 21 ftp یا 23 یا 22 .... رو تغییر داد مثلا به شماره های مثلا 4 رقمی مشکلی در کارکرد میکروتیک بوجود نمیاد؟سرویسها و....

**th95** · 2010-11-12, 08:39 AM

مثلا اگه بخوایم اینترفیس wan رو هم از بیرون و هم داخل شبکه کسی نتونه بهش وصل بشه و اینترفیس lan رو هم فقط مثلا 2 تا ip تعیین شده داخلی بتونن بهش وانباکس بزنن چیکار باید کرد؟

من هم چیزی شبیه به این رو میخوام
مثلا اینترفیس ون از بیرون به هیچ وجه و از داخل برای دو تا ای پی خاص قابل دسترسی باشه
ضمنا از داخل کسی نتونه با هر چی حتی وینباکس به اینترفیس لن (و در نتیجه کل میکروتیک) وصل بشه غیر از دو سه تا ای پی که خودمون میگیم

**M-r-r** · 2010-11-12, 09:55 AM

تغیر پورت ها مشکلی ایجاد نمیکنه؛

در خصوص اینکه یه سری آدرس بتونن وصل بشن و باقی نه، تو فایروال باید رول بنویسید. پورت وینباکس که مشخصه، نباید اونقدرا سخت باشه.

**3hsan** · 2010-11-12, 10:56 AM

آقای راستی میشه لطف کنید بنویسید.

**almas455** · 2010-11-12, 01:04 PM

تصور کنید رفتید جایی دیگر غیر از سیستم خودتون
نیاز شد که بیاید رو میکروتیک
وقتی ip ها رو بسته باشید اونجا باید بگید خودم کردم که ....

موضوع: سعی در دسترسی غیر مجاز به میکروتیک

پیوند

ابزارهای موضوع

نمایش

سعی در دسترسی غیر مجاز به میکروتیک

کلمات کلیدی در جستجوها:

دسترسی به یوزر منیجر میکروتیک را ببندید

ورود غیرمجاز به روتر میکروتیک

system error critical میکروتیک

میکروتیک root

بستن پورت فرستادن پکت به میکروتیک

کردن میکروتیکtelnet

login failure for user root میکروتیک

ساختن بلک لیست در میکروتیک

تعیین پورت دسترسی به میکروتیک

جلوگیری از ssh در میکروتیک

بستن پورت دسترسی از بیرون به میکروتیک

اضافه کردن پورت به service port میکروتیک

تعریف ip های مجاز در میکروتیک

راه های جلوگیری از ورود غیرمجاز به میکروتیک با ssh

میکروتیک system error critical login failure for user root from

بستن پورت اس اس اچ میکروتیک

دسترسی به میکروتیک telnet

drop invalid connection mikrotik

کانکشن غیر مجاز در میکروتیک

تعیین پورت در میکروتیک

ip service میکروتیک

دستورات تل نت میکروتیک

تعریف مجاز در میکروتیک

چگونه در میکروتیک ssh را ببندیم؟

تعیین سطح دسترسی به وینباکس

برچسب برای این موضوع

مجوز های ارسال و ویرایش