電訊茶室 - Powered by Discuz! Board

標題: PPTP SERVER　如何增強保安或防止撞密碼？ [打印本頁]

作者: ethan590 時間: 2015-3-4 00:20 標題: PPTP SERVER　如何增強保安或防止撞密碼？

近日發現大陸IP時不時連接ＰＰＴＰ。　如何增強保安或防止撞密碼？

23:12:42 pptp,info TCP connection established from 42.120.84.11
23:12:43 pptp,info TCP connection established from 42.120.84.228

作者: gfx86674 時間: 2015-3-4 00:52

匯入:

/ip firewall filter add action=drop chain=input protocol=tcp \
src-address=42.120.0.0/13 dst-port=1723

複製代碼

作者: moses 時間: 2015-3-4 02:21

本帖最後由 moses 於 2015-3-4 02:24 編輯

/ip firewall filter
add action=drop chain=input comment="Drop pptp brute forcers 7D" dst-port=1723 protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist address-list-timeout=1w chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp

複製代碼

代码说明：将连续尝试三次PPTP连接的用户IP添加至地址列表"pptp_blacklist"并且禁止此列表中IP地址访问你的RouterBoard 7天.

其他服务包括SSH, L2TP之类的服务都可以如此添加，添加前注意修改服务是UDP/TCP, 服务端口号就好, 必要的时候可以加上log prefix.

作者: gfx86674 時間: 2015-3-4 02:51

本帖最後由 gfx86674 於 2015-3-4 03:07 編輯

回復 3# moses
您把winbox,ssh認證腳本修改成vpn用，您自己親身測試過嗎？

小弟過去就曾實測過。

vpn連線時不會只有一個new connections。
也就是vpn client在與伺服器連接過程，
filter認為多個new connections在短時間內出現，視為重複登入。
於是就直接將用戶ip丟黑名單了，試問這要怎使用vpn啊？

這方法不可行

作者: moses 時間: 2015-3-4 09:38

本帖最後由 moses 於 2015-3-4 10:22 編輯

回復 4# gfx86674

正常认证后 connection-state将会变为established
我目前家里的就是这么配置的. 我的mAP 2n, RB951G-2HnD, 连接到RB450G上都没有问题.

歡迎光臨電訊茶室 (http://telecom-cafe.com/forum/)