Sziasztok!
Adott egy Mikrotik hEX S (RB760iGS, RouterOS 6.46.3) router.
Beállítva az NTP:
/system ntp client
set enabled=yes mode=broadcast primary-ntp=193.224.45.106 secondary-ntp=\
148.6.0.1
Azt vettem észre, nem szinkronizálja az időt. Több percekkel eltér per pill.
Hogy tudom manuálisan elindítani a szinkronizálást?
Köszi,
Roland
- 486 megtekintés
Hozzászólások
Szia!
Unicast-ttal se megy?
- A hozzászóláshoz be kell jelentkezni
Du. megpróbálom.
- A hozzászóláshoz be kell jelentkezni
De. Köszönöm.
- A hozzászóláshoz be kell jelentkezni
Nekem meg az NTP szerver résszel volt gondom, egy ipari cucc nem volt képes mindig frissülni róla mert valami NTP KISS-O-DEATH csomagot kapott a napló szerint a Mikrotk routertől. Át kellett írni a PLC programot, ha indításkor nem frissül, akkor noszogtassa még az NTP szervert sűrűn, és egy kis idő után csak lefrissült.
Színes vászon, színes vászon, fúj!
Kérem a Fiátot..
- A hozzászóláshoz be kell jelentkezni
Tűzfal szabály nem tiltja?
- A hozzászóláshoz be kell jelentkezni
Ennyi van:
/ip firewall filter
add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.0.0
add action=accept chain=input comment=" Established connections" \
connection-state=established
add action=accept chain=input in-interface-list=!WAN src-address=\
192.168.x.x/24
- A hozzászóláshoz be kell jelentkezni
utolsó előtti sorba vedd fel:
add action=accept chain=input comment=NTP dst-port=123 protocol=udp- A hozzászóláshoz be kell jelentkezni
Köszönöm, megy!
Ezzel:
/ip firewall filter
add action=drop chain=input dst-port=53 protocol=udp src-address=\
!192.168.0.0/16
add action=drop chain=input src-address=105.159.235.46
add action=drop chain=input src-address=86.101.111.21
add action=accept chain=input comment=" Established connections" \
connection-state=established
add action=accept chain=input comment=NTP dst-port=123 protocol=udp
add action=accept chain=input in-interface-list=!WAN src-address=\
192.168.x.x/24
/system ntp client
set enabled=yes primary-ntp=193.224.45.106 secondary-ntp=148.6.0.1
- A hozzászóláshoz be kell jelentkezni
Látom droppolsz bizonyos ip-ket. Szerintem inkább csinálj egy address list-et mondjuk blacklist néven, és abba dobáld bele a tiltlandó ip-ket.
ip firewall address-list add list=blacklist
ip firewall address-list add address=105.159.235.46 list=blacklist
ip firewall filter add action=drop address-list=blacklist chain=input src-address-list=blacklist
Ezzel áttekinthetőbbek lesznek a szabályok.
- A hozzászóláshoz be kell jelentkezni
Köszönöm!
Pont reggel töprengtem ezen. Éjjel sok "támadó" jön. Kína?
- A hozzászóláshoz be kell jelentkezni
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level2.netset
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level3.netset
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level4.netset
- A hozzászóláshoz be kell jelentkezni
Blacklist-be felvéve nem sok-sok iP?
- A hozzászóláshoz be kell jelentkezni
És milyen szolgáltatást támadtak?
Pl ssh vagy winbox port?
Szükséges ezeket elérni a wan oldalról?
- A hozzászóláshoz be kell jelentkezni
Nálam sstp-n próbálkoznak állandóan, administrator, meg test és hasonló vicces userekkel. Mivel vpn jelszót senki nem gépel be kézzel, nincs véletlen elirás, az első hibás próbálkozás után megy az attacker IP list-be és drop minden csomagjára örökre. (önmagam kitiltása ellen pedig efölött egy port knocking, aki be tud kopogtatni, az az attacker táblás ip-ről is kapcsolódhat)
Sikeres kopogtatásról pedig azonnal email küldés.
- A hozzászóláshoz be kell jelentkezni
Ezt a kopogtatást/figyelést hogyan csinálod?
- A hozzászóláshoz be kell jelentkezni
Figyelsz egy adott protokollt-portot (pl. udp 34567) action-ben belerakod 1 másodperces timeouttal pl. a knock_level_1 nevű address-list-be a küldő ip-t.
Figyelsz egy másik protokoll-portot (pl tcp 45285) feltételnek felveszed, hogy ha már a knock_level_1-ben van a küldő, akkor action-ben belerakod knock_level_2-be, szintén 1 mp-es timeouttal. (lehet erősiteni, hogy pl. udp-n egy adott string-et is vársz a kopogás közben)
stb, annyi szintet csinálsz amennyire bonyolitani akarod, lényeg, hogy az utolsó szinten kicsit nagyobb timeoutot adjál (nálam 10 mp) és csinálsz egy accept szabályt, ami az utolsó knock_level-ben lévőknet beengedi egyszer, és onnantól az established-related szabályok engedik kommunikálni, amig meg nem szakadnak.
És kliens oldalon pedig kopogás után 10 mp-en van belépni pl winbox-ba, de az egyes kopogási szintek között 1 mp-ed van, azt nyilván scripelni kell, én egy saját kis programot irtam rá.
Pl:
add action=add-src-to-address-list address-list=portknock1 \
address-list-timeout=1s chain=input comment="Portknock level 1" dst-port=\
1234 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=portknock2 \
address-list-timeout=1s chain=input comment="Portknock level 2" dst-port=\
4567 in-interface-list=WAN protocol=tcp src-address-list=portknock1
add action=add-src-to-address-list address-list="Portknock Authorized" \
address-list-timeout=10s chain=input comment=\
"Portknock level 3 -> Portknock authorized list" content=titkos_string \
dst-port=789 in-interface-list=WAN log=yes log-prefix=\
"!!! Portknock authorized !!!" protocol=udp src-address-list=portknock2
A figyelés nálam az utolsó szinten lévő loggal van megoldva, ha három felkiálltójel van a logban, azt nekem kiküldi egy scheduler-es script.
- A hozzászóláshoz be kell jelentkezni
Köszönöm.
- A hozzászóláshoz be kell jelentkezni
Winbox
Elvileg kintről nem is érhető el...
Portszámot átírtam, megszűntek a támadások ;)
- A hozzászóláshoz be kell jelentkezni