那些遇到过的问题

通过 winbox 在 mikrotik 路由器中防止 RDP 登录蛮力

hol*_*ian 2 rdp router mikrotik

硕士,

我需要帮助,如何配置我们的路由器以阻止 RDP 蛮力攻击

我想将我们的路由器设置为仅允许来自指定国家/地区(我们指定的 IP 范围)的 RDP 连接,另外我需要将路由器设置为阻止(将 ips 带到黑名单)并将蛮力攻击放到指定的端口号。

我尝试通过将 ftp 端口更改为 rdp 端口​​来设置它。

http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP_%26_SSH

任何建议 tnx。

H

当前配置:

我尝试通过 Winbox 配置路由器。

我设置了一些 NAT 规则(从 dyndns 到本地地址,rdp 端口​​)

在过滤规则选项卡中:

在此处输入图片说明

  • 我不确定这个配置是否可以解决问题?!内容文本“530 登录不正确”是否适合 RDP 连接?因为在教程中用于过滤FTP连接。
  • 如何设置路由器以允许来自指定 IP 范围的 RDP 尝试?

谢谢

// 新配置

在此处输入图片说明

Reg*_*gan 6

FTP 配置实际上是在查看 FTP 数据以查看 530 代码。您需要调整 SSH 配置而不是 FTP 配置。尝试这个:

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
Run Code Online (Sandbox Code Playgroud)

这个配置的实际作用是,对于每次传入尝试,它都会将 IP 地址添加到列表中。第一次将它添加到 stage1,然后如果 IP 仍然在 stage1(一分钟后)并且再次尝试,它会被添加到 stage2,在它再添加两次之后,它被添加到 rdp_blacklist 列表中它实际上被阻止了 10 天。

如果您希望它或多或少具有侵略性,您可以更改列表超时,或者如果您愿意,甚至可以添加更多列表。

您可以添加这些列表以仅允许特定 IP 范围:

add chain=forward dst-port=3389 src-address=192.168.0.0/24 action=accept
add chain=forward dst-port=3389 src-address=10.10.0.1/32 action=accept
add chain=forward dst-port=3389 action=drop
Run Code Online (Sandbox Code Playgroud)

只需在最后一行之前添加您需要的尽可能多的 src-address 行。如果您有很多范围,则可以使用以下方法创建地址列表和引用:

add chain=forward dst-port=3389 src-address-list=rdp_acceptlist action=accept
add chain=forward dst-port=3389 action=drop
Run Code Online (Sandbox Code Playgroud)

然后将您的地址添加到 rdp_acceptlist

要添加到 rdp_acceptlist,请使用以下命令:

/ip firewall address-list add list=rdp_acceptlist address=192.168.0.0/24
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

17037 次

最近记录:

12 年,1 月 前
相关归档
交换机、路由器和调制解调器有什么区别? 21
NAT:如果两台主机向同一个IP:PORT发起连接,使用相同的源PORT,路由器如何处理? 8
限制 rdp 只访问某个 IP 7
我必须为 RDP 客户端安装所有可能的打印机驱动程序吗? 6
过多的活动 IP 连接 4
如何在 shell 脚本中对 rdesktop 密码参数进行编码? 4
如何使用具有大数据包大小的 ping 来解决网络问题? 4
与一个简单的路由器共享一个 IP 地址 4
Cisco路由器-在telnet中编辑或查看文件内容 1
使用不可修改的参数创建 .RDP 文件 0
难疑归档
是否可以在没有密码的情况下生成 RSA 密钥? 137
Ping 是检查服务器是否可用的可靠方法吗? 102
如何创建在每月第一天运行的 cron 作业 99
scp 没有 known_hosts 检查 76
为什么 SSH 密码认证存在安全风险? 69
你采取什么步骤来保护 Debian 服务器? 66
每个系统管理员都应该阅读的最有影响力的书是什么? 66
如何修改 Cronjob 电子邮件主题 57
服务启动请求重复太快,拒绝启动限制 55
在配置文件中调试 nginx 重写规则的最佳方法? 52