PPTP SERVER 如何增強保安或防止撞密碼?
近日發現大陸IP時不時連接PPTP。 如何增強保安或防止撞密碼?23:12:42 pptp,info TCP connection established from 42.120.84.11
23:12:43 pptp,info TCP connection established from 42.120.84.228 匯入:[code]/ip firewall filter add action=drop chain=input protocol=tcp \
src-address=42.120.0.0/13 dst-port=1723[/code] [i=s] 本帖最後由 moses 於 2015-3-4 02:24 編輯 [/i]
[code]
/ip firewall filter
add action=drop chain=input comment="Drop pptp brute forcers 7D" dst-port=1723 protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist address-list-timeout=1w chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp
[/code]代码说明:将连续尝试三次PPTP连接的用户IP添加至地址列表"pptp_blacklist"并且禁止此列表中IP地址访问你的RouterBoard 7天.
其他服务包括SSH, L2TP之类的服务都可以如此添加, 添加前注意修改服务是UDP/TCP, 服务端口号就好, 必要的时候可以加上log prefix. [i=s] 本帖最後由 gfx86674 於 2015-3-4 03:07 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=40771&ptid=6576]3#[/url] [i]moses[/i] [/b]
您把winbox,ssh認證腳本修改成vpn用,您自己親身測試過嗎?
小弟過去就曾實測過。
vpn連線時不會只有一個new connections。
也就是vpn client在與伺服器連接過程,
filter認為多個new connections在短時間內出現,視為重複登入。
於是就直接將用戶ip丟黑名單了,試問這要怎使用vpn啊?
這方法不可行:( [i=s] 本帖最後由 moses 於 2015-3-4 10:22 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=40772&ptid=6576]4#[/url] [i]gfx86674[/i] [/b]
正常认证后 connection-state将会变为established
我目前家里的就是这么配置的. 我的mAP 2n, RB951G-2HnD, 连接到RB450G上都没有问题.
頁:
[1]