[MataroSensefils] [guifi-instal] Regla firewall RouterOS
Xavier Palacios
palgubxa a gmail.com
dic des 12 16:37:22 CET 2012
Perfecte Jordi!
Ho passo a l'altre llista també!
Salut i xarxa!
XEVI
El 12 de desembre de 2012 16:09, Jordi Clopes Esteban <jordiclopes a gmail.com
> ha escrit:
> Hola Xevi!
>
> A alguns supernodes de Mataró els hi vaig posar aquestes regles fa un
> temps:
>
>
> http://matarosensefils.net/wiki/index.php?n=Documentaci%f3.SecuritzarUnSupernode
>
> A tope!
>
> Jordi
>
> El 12 de desembre de 2012 16:02, Xavier Palacios <palgubxa a gmail.com> ha
> escrit:
>
>>
>> Bones!!
>>
>> Reenvio el que s'està comentant a la llista d'instal·ladors per a que els
>> que instal·leu o tingueu nodes tingueu el que s'està proposant.
>> Degut a varis atacs a trastos exitents per mitjà de la força bruta, pels
>> que no sabeu què és, es tracta d'intentar esbrinar la contrassenya d'accés
>> al trasto amb un "programa" que va probant claus; s'ha implementat un
>> seguit de mesures de seguretat que podem incorporar als nostres nodes.
>>
>> Salutacions XEVI P.
>>
>>
>> Conversa reenviada
>> Assumpte: [guifi-instal] Regla firewall RouterOS
>> ------------------------
>>
>> De: *Marc Morales Valldepérez* <marc a futuraserveis.com>
>> Data: 12 de desembre de 2012 12:42
>> Per a: guifi-instal <guifi-instal a lists.guifi.net>
>>
>>
>> Hola bones,
>>
>> Ja fa dies que al log de l'antena (Mikrotik SXT) veig molts intents
>> d'autentificació via ssh, concretament de la ip 116.255.244.40, van provant
>> usuaris i passwords per diccionari suposo.
>>
>> Algú sap com posar una regla al firewall de tal manera que per exemple
>> als 3 intents fallits de connexió es baneijes la Ip durant x hores?
>>
>> Gràcies
>>
>> Att,
>>
>> Marc Morales
>>
>>
>>
>>
>> _______________________________________________
>> guifi-instal mailing list
>> guifi-instal a lists.guifi.net
>> https://lists.guifi.net/listinfo/guifi-instal
>>
>>
>> ----------
>> From: *Marc* <marc a hacklabvalls.org>
>> Date: 2012/12/12
>> To: Installers and antenna technicians - Instaladors i tecnics d'antenes
>> - Instaladores y tecnicos de antenas <guifi-instal a lists.guifi.net>
>>
>>
>>
>> http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP_%26_SSH%29
>>
>>
>> El 12 de desembre de 2012 12:42, Marc Morales Valldepérez <
>> marc a futuraserveis.com> ha escrit:
>>
>>> 116.255.244.40
>>
>>
>>
>> _______________________________________________
>> guifi-instal mailing list
>> guifi-instal a lists.guifi.net
>> https://lists.guifi.net/listinfo/guifi-instal
>>
>>
>> ----------
>> From: *Lluís Dalmau* <lluis.dalmau a guifi.net>
>> Date: 2012/12/12
>> To: Installers and antenna technicians - Instaladors i tecnics d'antenes
>> - Instaladores y tecnicos de antenas <guifi-instal a lists.guifi.net>
>>
>>
>> Veig que ara mateix ho estan intentant a un dels MKT de Vic
>>
>> 2012/12/12 Marc <marc a hacklabvalls.org>:
>> > _______________________________________________
>> > guifi-instal mailing list
>> > guifi-instal a lists.guifi.net
>> > https://lists.guifi.net/listinfo/guifi-instal
>> >
>> _______________________________________________
>> guifi-instal mailing list
>> guifi-instal a lists.guifi.net
>> https://lists.guifi.net/listinfo/guifi-instal
>>
>> ----------
>> From: *Marc Morales Valldepérez* <marc a futuraserveis.com>
>> Date: 2012/12/12
>> To: Installers and antenna technicians - Instaladors i tecnics d'antenes
>> - Instaladores y tecnicos de antenas <guifi-instal a lists.guifi.net>
>>
>>
>> Moltes gràcies
>>
>> Salut!
>>
>> _______________________________________________
>> guifi-instal mailing list
>> guifi-instal a lists.guifi.net
>> https://lists.guifi.net/listinfo/guifi-instal
>>
>>
>> ----------
>> De: *Blackhold* <blackholdmailer a gmail.com>
>> Data: 12 de desembre de 2012 13:21
>> Per a: Installers and antenna technicians - Instaladors i tecnics
>> d'antenes - Instaladores y tecnicos de antenas <
>> guifi-instal a lists.guifi.net>
>>
>>
>> bones,
>> una petita recomanació, si no utilitzeu l'entorn web us recomano
>> desactivar-lo, ja que hi ha un script super simple que permet anar
>> provant passwords i amb un parell de dies es pot treure el
>> password....
>>
>> 2012/12/12 Marc <marc a hacklabvalls.org>:
>>
>> ----------
>> De: *Ignasi Ferrer* <ignasi.ferrer a guifi.net>
>> Data: 12 de desembre de 2012 13:55
>> Per a: Installers and antenna technicians - Instaladors i tecnics
>> d'antenes - Instaladores y tecnicos de antenas <
>> guifi-instal a lists.guifi.net>
>>
>>
>> A ip services i el tenquem no millor?
>>
>> -----Mensaje original-----
>> De: guifi-instal-bounces a lists.guifi.net [mailto:
>> guifi-instal-bounces a lists.guifi.net] En nombre de Blackhold
>> Enviado el: dimecres, 12 / desembre / 2012 13:22
>> Para: Installers and antenna technicians - Instaladors i tecnics
>> d'antenes - Instaladores y tecnicos de antenas
>> Asunto: Re: [guifi-instal] Regla firewall RouterOS
>>
>> ----------
>> From: *David* <david a exo.cat>
>> Date: 2012/12/12
>> To: guifi-instal a lists.guifi.net
>>
>>
>> sip !
>>
>> /ip service
>> set telnet address="" disabled=no port=23
>> set ftp address="" disabled=no port=21
>> set www address="" disabled=yes port=8081
>> set ssh address="" disabled=no port=22
>> set www-ssl address="" certificate=none disabled=yes port=443
>> set api address="" disabled=yes port=8728
>> set winbox address="" disabled=no port=8291
>> --
>> David
>>
>> ----------
>> De: *Miquel Martos* <miquelmartos a gmail.com>
>> Data: 12 de desembre de 2012 15:07
>> Per a: Installers and antenna technicians - Instaladors i tecnics
>> d'antenes - Instaladores y tecnicos de antenas <
>> guifi-instal a lists.guifi.net>
>>
>>
>> eps, una xuleta per protegir multiples intents d'accés:
>> winbox i ssh, però es pot anar replicant pel port que es vulgui:
>> Tal com està, a la que detecta 5 intents en menys de 1m bloqueja l'usuari
>> 24h
>>
>> /ip firewall filter
>> add action=jump chain=input connection-state=new disabled=no dst-port=22
>> jump-target=input_ssh protocol=tcp
>> add action=jump chain=input connection-state=new disabled=no
>> dst-port=8291 jump-target=input_winbox protocol=tcp
>> add action=drop chain=input_ssh comment="BLOQUEJA DURANT 24 hores qui fa
>> 5 intents seguits de login SSH!" disabled=no dst-port=22 protocol=tcp
>> src-address-list=black_list_ssh
>> add action=add-src-to-address-list address-list=black_list_ssh
>> address-list-timeout=1d chain=input_ssh connection-state=new disabled=no
>> dst-port=22 protocol=tcp src-address-list=ssh_stage4
>> add action=add-src-to-address-list address-list=ssh_stage4
>> address-list-timeout=1m chain=input_ssh connection-state=new disabled=no
>> dst-port=22 protocol=tcp src-address-list=ssh_stage3
>> add action=add-src-to-address-list address-list=ssh_stage3
>> address-list-timeout=1m chain=input_ssh connection-state=new disabled=no
>> dst-port=22 protocol=tcp src-address-list=ssh_stage2
>> add action=add-src-to-address-list address-list=ssh_stage2
>> address-list-timeout=1m chain=input_ssh connection-state=new disabled=no
>> dst-port=22 protocol=tcp src-address-list=ssh_stage1
>> add action=add-src-to-address-list address-list=ssh_stage1
>> address-list-timeout=1m chain=input_ssh connection-state=new disabled=no
>> dst-port=22 protocol=tcp
>> add action=drop chain=input_winbox comment="BLOQUEJA DURANT 24 hores qui
>> fa 5 intents seguits de login winbox!" disabled=no dst-port=8291
>> protocol=tcp src-address-list=black_list_winbox
>> add action=add-src-to-address-list address-list=black_list_winbox
>> address-list-timeout=1d chain=input_winbox connection-state=new disabled=no
>> dst-port=8291 protocol=tcp src-address-list=winbox_stage4
>> add action=add-src-to-address-list address-list=winbox_stage4
>> address-list-timeout=1m chain=input_winbox connection-state=new disabled=no
>> dst-port=8291 protocol=tcp src-address-list=winbox_stage3
>> add action=add-src-to-address-list address-list=winbox_stage3
>> address-list-timeout=1m chain=input_winbox connection-state=new disabled=no
>> dst-port=8291 protocol=tcp src-address-list=winbox_stage2
>> add action=add-src-to-address-list address-list=winbox_stage2
>> address-list-timeout=1m chain=input_winbox connection-state=new disabled=no
>> dst-port=8291 protocol=tcp src-address-list=winbox_stage1
>> add action=add-src-to-address-list address-list=winbox_stage1
>> address-list-timeout=1m chain=input_winbox connection-state=new disabled=no
>> dst-port=8291 protocol=tcp
>>
>>
>>
>>
>>
>> Miquel Martos
>>
>> _______________________________________________
>> guifi-instal mailing list
>> guifi-instal a lists.guifi.net
>> https://lists.guifi.net/listinfo/guifi-instal
>>
>>
>> ----------
>> From: *Ignasi Ferrer* <ignasi.ferrer a guifi.net>
>> Date: 2012/12/12
>> To: Installers and antenna technicians - Instaladors i tecnics d'antenes
>> - Instaladores y tecnicos de antenas <guifi-instal a lists.guifi.net>
>>
>>
>> Provat a casa i funciona! ;)****
>>
>> ** **
>>
>> *De:* guifi-instal-bounces a lists.guifi.net [mailto:
>> guifi-instal-bounces a lists.guifi.net] *En nombre de *Miquel Martos
>>
>> *Enviado el:* dimecres, 12 / desembre / 2012 15:08
>>
>>
>> _______________________________________________
>> guifi-instal mailing list
>> guifi-instal a lists.guifi.net
>> https://lists.guifi.net/listinfo/guifi-instal
>>
>>
>> ----------
>> From: *Ignasi Ferrer* <ignasi.ferrer a guifi.net>
>> Date: 2012/12/12
>> To: Installers and antenna technicians - Instaladors i tecnics d'antenes
>> - Instaladores y tecnicos de antenas <guifi-instal a lists.guifi.net>
>>
>>
>> Funciona tant si provem 5 vegades posant el login i pass correctes que si
>> podem 5 vegades el login i pass incorrectes!****
>>
>> ** **
>>
>> *De:* guifi-instal-bounces a lists.guifi.net [mailto:
>> guifi-instal-bounces a lists.guifi.net] *En nombre de *Miquel Martos
>> *Enviado el:* dimecres, 12 / desembre / 2012 15:08
>>
>>
>> _______________________________________________
>> guifi-instal mailing list
>> guifi-instal a lists.guifi.net
>> https://lists.guifi.net/listinfo/guifi-instal
>>
>>
>>
>>
>> _______________________________________________
>> Llista llista de correu
>> Llista a matarosensefils.net
>>
>> http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net
>>
>> Recorda que pots contribuir en el manteniment de la xarxa sense fils de
>> Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107
>> 0100 60 3835618105
>>
>> Per esborrar-te de la llista envia un correu
>> llista-request a matarosensefils.net amb la paraula "unsubscribe" en
>> l'assumpte del correu
>>
>
>
>
> --
> Follow me on Twitter @jordiclopes
>
>
> _______________________________________________
> Llista llista de correu
> Llista a matarosensefils.net
> http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net
>
> Recorda que pots contribuir en el manteniment de la xarxa sense fils de
> Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107
> 0100 60 3835618105
>
> Per esborrar-te de la llista envia un correu
> llista-request a matarosensefils.net amb la paraula "unsubscribe" en
> l'assumpte del correu
>
-------------- part següent --------------
Un document HTML ha estat eliminat...
URL: <http://llistes.anem.be/pipermail/llista_matarosensefils.net/attachments/20121212/9e63dab7/attachment.html>
-------------- part següent --------------
_______________________________________________
Llista llista de correu
Llista a matarosensefils.net
http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net
Recorda que pots contribuir en el manteniment de la xarxa sense fils de Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107 0100 60 3835618105
Per esborrar-te de la llista envia un correu llista-request a matarosensefils.net amb la paraula "unsubscribe" en l'assumpte del correu
Més informació sobre la llista de correu llista_matarosensefils.net