[MataroSensefils] [guifi-instal] Regla firewall RouterOS

Esteve Olm esteve.olm a gmail.com
dij des 13 10:03:00 CET 2012 

I si algú la tira a terra, tornar-la a aixecar tampoc seria gaire complicat
amb la colla de cracks que tenim.
El comentari va bé perquè la gent de la llista es quedi més tranquil·la,
sobretot si no fan servir Windows XP :)






El 12 de desembre de 2012 19:30, Jordi Clopes Esteban <jordiclopes a gmail.com
> ha escrit:

> Exacte Esteve. Tot i que també es podria donar el cas que algú des
> d'Internet prengués el control d'alguna màquina de dins la xarxa, el
> Windows XP d'un usuari per exemple i des d'allà provés coses.
>
> De totes maneres tirar a terra tant a nivell físic com lògic la xarxa és
> bufar i fer ampolles per algú amb una mica de mala llet. Si això passés
> algun dia hauríem d'estudiar altres mecanismes de control d'accés que per
> sort de moment no han fet mai falta.
>
> Jordi
>
> El 12 de desembre de 2012 19:13, Esteve Olm <esteve.olm a gmail.com> ha
> escrit:
>
> Perdoneu la pregunta però... aquests atacs que comenten venen amb IP
>> externa, és a dir des de Internet.
>> Això a la nostra xarxa no pot passar si la mikrotik o el què sigui no
>> està connectada directament a un adsl oi?
>> Vull dir que hauria de ser algú de dintre la xarxa qui intentés rebentar
>> l'aparell. És així?
>>
>>
>>
>>
>>
>>
>> El 12 de desembre de 2012 16:37, Xavier Palacios <palgubxa a gmail.com> ha
>> escrit:
>>
>> Perfecte Jordi!
>>> Ho passo a l'altre llista també!
>>>
>>> Salut i xarxa!
>>>
>>> XEVI
>>>
>>> El 12 de desembre de 2012 16:09, Jordi Clopes Esteban <
>>> jordiclopes a gmail.com> ha escrit:
>>>
>>> Hola Xevi!
>>>>
>>>> A alguns supernodes de Mataró els hi vaig posar aquestes regles fa un
>>>> temps:
>>>>
>>>>
>>>> http://matarosensefils.net/wiki/index.php?n=Documentaci%f3.SecuritzarUnSupernode
>>>>
>>>> A tope!
>>>>
>>>> Jordi
>>>>
>>>> El 12 de desembre de 2012 16:02, Xavier Palacios <palgubxa a gmail.com>ha escrit:
>>>>
>>>>>
>>>>> Bones!!
>>>>>
>>>>> Reenvio el que s'està comentant a la llista d'instal·ladors per a que
>>>>> els que instal·leu o tingueu nodes tingueu el que s'està proposant.
>>>>> Degut a varis atacs a trastos exitents per mitjà de la força bruta,
>>>>> pels que no sabeu què és, es tracta d'intentar esbrinar la contrassenya
>>>>> d'accés al trasto amb un "programa" que va probant claus; s'ha implementat
>>>>> un seguit de mesures de seguretat que podem incorporar als nostres nodes.
>>>>>
>>>>> Salutacions XEVI P.
>>>>>
>>>>>
>>>>> Conversa reenviada
>>>>> Assumpte: [guifi-instal] Regla firewall RouterOS
>>>>> ------------------------
>>>>>
>>>>> De: *Marc Morales Valldepérez* <marc a futuraserveis.com>
>>>>> Data: 12 de desembre de 2012 12:42
>>>>> Per a: guifi-instal <guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>> Hola bones,
>>>>>
>>>>> Ja fa dies que al log de l'antena (Mikrotik SXT) veig molts intents
>>>>> d'autentificació via ssh, concretament de la ip 116.255.244.40, van provant
>>>>> usuaris i passwords per diccionari suposo.
>>>>>
>>>>> Algú sap com posar una regla al firewall de tal manera que per exemple
>>>>> als 3 intents fallits de connexió es baneijes la Ip durant x hores?
>>>>>
>>>>> Gràcies
>>>>>
>>>>> Att,
>>>>>
>>>>> Marc Morales
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> guifi-instal mailing list
>>>>> guifi-instal a lists.guifi.net
>>>>> https://lists.guifi.net/listinfo/guifi-instal
>>>>>
>>>>>
>>>>> ----------
>>>>> From: *Marc* <marc a hacklabvalls.org>
>>>>> Date: 2012/12/12
>>>>> To: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas <
>>>>> guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>>
>>>>> http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP_%26_SSH%29
>>>>>
>>>>>
>>>>> El 12 de desembre de 2012 12:42, Marc Morales Valldepérez <
>>>>> marc a futuraserveis.com> ha escrit:
>>>>>
>>>>>> 116.255.244.40
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> guifi-instal mailing list
>>>>> guifi-instal a lists.guifi.net
>>>>> https://lists.guifi.net/listinfo/guifi-instal
>>>>>
>>>>>
>>>>> ----------
>>>>> From: *Lluís Dalmau* <lluis.dalmau a guifi.net>
>>>>> Date: 2012/12/12
>>>>> To: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas <
>>>>> guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>> Veig que ara mateix ho estan intentant a un dels MKT de Vic
>>>>>
>>>>> 2012/12/12 Marc <marc a hacklabvalls.org>:
>>>>> > _______________________________________________
>>>>> > guifi-instal mailing list
>>>>> > guifi-instal a lists.guifi.net
>>>>> > https://lists.guifi.net/listinfo/guifi-instal
>>>>> >
>>>>> _______________________________________________
>>>>> guifi-instal mailing list
>>>>> guifi-instal a lists.guifi.net
>>>>> https://lists.guifi.net/listinfo/guifi-instal
>>>>>
>>>>> ----------
>>>>> From: *Marc Morales Valldepérez* <marc a futuraserveis.com>
>>>>> Date: 2012/12/12
>>>>> To: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas <
>>>>> guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>> Moltes gràcies
>>>>>
>>>>> Salut!
>>>>>
>>>>> _______________________________________________
>>>>> guifi-instal mailing list
>>>>> guifi-instal a lists.guifi.net
>>>>> https://lists.guifi.net/listinfo/guifi-instal
>>>>>
>>>>>
>>>>> ----------
>>>>> De: *Blackhold* <blackholdmailer a gmail.com>
>>>>> Data: 12 de desembre de 2012 13:21
>>>>> Per a: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas <
>>>>> guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>> bones,
>>>>> una petita recomanació, si no utilitzeu l'entorn web us recomano
>>>>> desactivar-lo, ja que hi ha un script super simple que permet anar
>>>>> provant passwords i amb un parell de dies es pot treure el
>>>>> password....
>>>>>
>>>>> 2012/12/12 Marc <marc a hacklabvalls.org>:
>>>>>
>>>>> ----------
>>>>> De: *Ignasi Ferrer* <ignasi.ferrer a guifi.net>
>>>>> Data: 12 de desembre de 2012 13:55
>>>>> Per a: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas <
>>>>> guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>> A ip services i el tenquem no millor?
>>>>>
>>>>> -----Mensaje original-----
>>>>> De: guifi-instal-bounces a lists.guifi.net [mailto:
>>>>> guifi-instal-bounces a lists.guifi.net] En nombre de Blackhold
>>>>> Enviado el: dimecres, 12 / desembre / 2012 13:22
>>>>> Para: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas
>>>>> Asunto: Re: [guifi-instal] Regla firewall RouterOS
>>>>>
>>>>> ----------
>>>>> From: *David* <david a exo.cat>
>>>>> Date: 2012/12/12
>>>>> To: guifi-instal a lists.guifi.net
>>>>>
>>>>>
>>>>> sip !
>>>>>
>>>>> /ip service
>>>>> set telnet address="" disabled=no port=23
>>>>> set ftp address="" disabled=no port=21
>>>>> set www address="" disabled=yes port=8081
>>>>> set ssh address="" disabled=no port=22
>>>>> set www-ssl address="" certificate=none disabled=yes port=443
>>>>> set api address="" disabled=yes port=8728
>>>>> set winbox address="" disabled=no port=8291
>>>>> --
>>>>> David
>>>>>
>>>>> ----------
>>>>> De: *Miquel Martos* <miquelmartos a gmail.com>
>>>>> Data: 12 de desembre de 2012 15:07
>>>>> Per a: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas <
>>>>> guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>> eps, una xuleta per protegir multiples intents d'accés:
>>>>> winbox i ssh, però es pot anar replicant pel port que es vulgui:
>>>>> Tal com està, a la que detecta 5 intents en menys de 1m bloqueja
>>>>> l'usuari 24h
>>>>>
>>>>> /ip firewall filter
>>>>> add action=jump chain=input connection-state=new disabled=no
>>>>> dst-port=22 jump-target=input_ssh protocol=tcp
>>>>> add action=jump chain=input connection-state=new disabled=no
>>>>> dst-port=8291 jump-target=input_winbox protocol=tcp
>>>>> add action=drop chain=input_ssh comment="BLOQUEJA DURANT 24 hores qui
>>>>> fa 5 intents seguits de login SSH!" disabled=no dst-port=22 protocol=tcp
>>>>> src-address-list=black_list_ssh
>>>>> add action=add-src-to-address-list address-list=black_list_ssh
>>>>> address-list-timeout=1d chain=input_ssh connection-state=new disabled=no
>>>>> dst-port=22 protocol=tcp src-address-list=ssh_stage4
>>>>> add action=add-src-to-address-list address-list=ssh_stage4
>>>>> address-list-timeout=1m chain=input_ssh connection-state=new disabled=no
>>>>> dst-port=22 protocol=tcp src-address-list=ssh_stage3
>>>>> add action=add-src-to-address-list address-list=ssh_stage3
>>>>> address-list-timeout=1m chain=input_ssh connection-state=new disabled=no
>>>>> dst-port=22 protocol=tcp src-address-list=ssh_stage2
>>>>> add action=add-src-to-address-list address-list=ssh_stage2
>>>>> address-list-timeout=1m chain=input_ssh connection-state=new disabled=no
>>>>> dst-port=22 protocol=tcp src-address-list=ssh_stage1
>>>>> add action=add-src-to-address-list address-list=ssh_stage1
>>>>> address-list-timeout=1m chain=input_ssh connection-state=new disabled=no
>>>>> dst-port=22 protocol=tcp
>>>>> add action=drop chain=input_winbox comment="BLOQUEJA DURANT 24 hores
>>>>> qui fa 5 intents seguits de login winbox!" disabled=no dst-port=8291
>>>>> protocol=tcp src-address-list=black_list_winbox
>>>>> add action=add-src-to-address-list address-list=black_list_winbox
>>>>> address-list-timeout=1d chain=input_winbox connection-state=new disabled=no
>>>>> dst-port=8291 protocol=tcp src-address-list=winbox_stage4
>>>>> add action=add-src-to-address-list address-list=winbox_stage4
>>>>> address-list-timeout=1m chain=input_winbox connection-state=new disabled=no
>>>>> dst-port=8291 protocol=tcp src-address-list=winbox_stage3
>>>>> add action=add-src-to-address-list address-list=winbox_stage3
>>>>> address-list-timeout=1m chain=input_winbox connection-state=new disabled=no
>>>>> dst-port=8291 protocol=tcp src-address-list=winbox_stage2
>>>>> add action=add-src-to-address-list address-list=winbox_stage2
>>>>> address-list-timeout=1m chain=input_winbox connection-state=new disabled=no
>>>>> dst-port=8291 protocol=tcp src-address-list=winbox_stage1
>>>>> add action=add-src-to-address-list address-list=winbox_stage1
>>>>> address-list-timeout=1m chain=input_winbox connection-state=new disabled=no
>>>>> dst-port=8291 protocol=tcp
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Miquel Martos
>>>>>
>>>>> _______________________________________________
>>>>> guifi-instal mailing list
>>>>> guifi-instal a lists.guifi.net
>>>>> https://lists.guifi.net/listinfo/guifi-instal
>>>>>
>>>>>
>>>>> ----------
>>>>> From: *Ignasi Ferrer* <ignasi.ferrer a guifi.net>
>>>>> Date: 2012/12/12
>>>>> To: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas <
>>>>> guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>> Provat a casa i funciona!  ;)****
>>>>>
>>>>> ** **
>>>>>
>>>>> *De:* guifi-instal-bounces a lists.guifi.net [mailto:
>>>>> guifi-instal-bounces a lists.guifi.net] *En nombre de *Miquel Martos
>>>>>
>>>>> *Enviado el:* dimecres, 12 / desembre / 2012 15:08
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> guifi-instal mailing list
>>>>> guifi-instal a lists.guifi.net
>>>>> https://lists.guifi.net/listinfo/guifi-instal
>>>>>
>>>>>
>>>>> ----------
>>>>> From: *Ignasi Ferrer* <ignasi.ferrer a guifi.net>
>>>>> Date: 2012/12/12
>>>>> To: Installers and antenna technicians - Instaladors i tecnics
>>>>> d'antenes - Instaladores y tecnicos de antenas <
>>>>> guifi-instal a lists.guifi.net>
>>>>>
>>>>>
>>>>> Funciona tant si provem 5 vegades posant el login i pass correctes que
>>>>> si podem 5 vegades el login i pass incorrectes!****
>>>>>
>>>>> ** **
>>>>>
>>>>> *De:* guifi-instal-bounces a lists.guifi.net [mailto:
>>>>> guifi-instal-bounces a lists.guifi.net] *En nombre de *Miquel Martos
>>>>> *Enviado el:* dimecres, 12 / desembre / 2012 15:08
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> guifi-instal mailing list
>>>>> guifi-instal a lists.guifi.net
>>>>> https://lists.guifi.net/listinfo/guifi-instal
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Llista llista de correu
>>>>> Llista a matarosensefils.net
>>>>>
>>>>> http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net
>>>>>
>>>>> Recorda que pots contribuir en el manteniment de la xarxa sense fils
>>>>> de Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107
>>>>> 0100 60 3835618105
>>>>>
>>>>> Per esborrar-te de la llista envia un correu
>>>>> llista-request a matarosensefils.net amb la paraula "unsubscribe" en
>>>>> l'assumpte del correu
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> Follow me on Twitter @jordiclopes
>>>>
>>>>
>>>> _______________________________________________
>>>> Llista llista de correu
>>>> Llista a matarosensefils.net
>>>>
>>>> http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net
>>>>
>>>> Recorda que pots contribuir en el manteniment de la xarxa sense fils de
>>>> Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107
>>>> 0100 60 3835618105
>>>>
>>>> Per esborrar-te de la llista envia un correu
>>>> llista-request a matarosensefils.net amb la paraula "unsubscribe" en
>>>> l'assumpte del correu
>>>>
>>>
>>>
>>> _______________________________________________
>>> Llista llista de correu
>>> Llista a matarosensefils.net
>>>
>>> http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net
>>>
>>> Recorda que pots contribuir en el manteniment de la xarxa sense fils de
>>> Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107
>>> 0100 60 3835618105
>>>
>>> Per esborrar-te de la llista envia un correu
>>> llista-request a matarosensefils.net amb la paraula "unsubscribe" en
>>> l'assumpte del correu
>>>
>>
>>
>> _______________________________________________
>> Llista llista de correu
>> Llista a matarosensefils.net
>>
>> http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net
>>
>> Recorda que pots contribuir en el manteniment de la xarxa sense fils de
>> Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107
>> 0100 60 3835618105
>>
>> Per esborrar-te de la llista envia un correu
>> llista-request a matarosensefils.net amb la paraula "unsubscribe" en
>> l'assumpte del correu
>>
>
>
>
> --
> Follow me on Twitter @jordiclopes
>
>
> _______________________________________________
> Llista llista de correu
> Llista a matarosensefils.net
> http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net
>
> Recorda que pots contribuir en el manteniment de la xarxa sense fils de
> Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107
> 0100 60 3835618105
>
> Per esborrar-te de la llista envia un correu
> llista-request a matarosensefils.net amb la paraula "unsubscribe" en
> l'assumpte del correu
>
-------------- part següent --------------
Un document HTML ha estat eliminat...
URL: <http://llistes.anem.be/pipermail/llista_matarosensefils.net/attachments/20121213/280c624a/attachment.html>
-------------- part següent --------------
_______________________________________________
Llista llista de correu
Llista a matarosensefils.net
http://mail.matarosensefils.net/mailman/listinfo/llista_matarosensefils.net

Recorda que pots contribuir en el manteniment de la xarxa sense fils de Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 2107 0100 60 3835618105

Per esborrar-te de la llista envia un correu llista-request a matarosensefils.net amb la paraula "unsubscribe" en l'assumpte del correu

Més informació sobre la llista de correu llista_matarosensefils.net