標題: 防止vpn-server被陌生人trying [打印本頁]

---

作者: gfx86674    時間: 2015-12-10 11:16     標題: 防止vpn-server被陌生人trying

本帖最後由 gfx86674 於 2016-5-14 11:47 編輯

您的PPTP/SSTP/L2TP/OVPN-Server常常被陌生人trying嗎?

是的話,您應該建立基本的VPN防護.

首先,您應透過防火牆把這些嘗試使用vpn-server的ip列入觀察名單.
請注意SSTP與OVPN ,您使用的連接埠可能會不一樣...

1. /ip firewall filter
   
2. add action=accept chain=input src-address-list=mobile
   
3. add action=accept chain=input src-address-list=temp \
   
4.   dst-port=1723,443,1194 protocol=tcp
   
5. add action=accept chain=input src-address-list=temp \
   
6.   dst-port=500,1701,4500 protocol=udp
   
7. add action=drop chain=input src-address-list="port scanners"
   
8. # PPTP #
   
9. add action=add-src-to-address-list address-list=temp address-list-timeout=1m20s \
   
10.   chain=input dst-port=1723 protocol=tcp
    
11. # SSTP #
    
12. add action=add-src-to-address-list address-list=temp address-list-timeout=1m20s \
    
13.   chain=input dst-port=443 protocol=tcp
    
14. # L2TP #
    
15. add action=add-src-to-address-list address-list=temp address-list-timeout=1m20s \
    
16.   chain=input dst-port=500,1701,4500 protocol=udp
    
17. # OVPN #
    
18. add action=add-src-to-address-list address-list=temp address-list-timeout=1m20s \
    
19.   chain=input dst-port=1194 protocol=tcp

複製代碼

在/system schedule新增 Vpn-points (VPN檢查哨) ,每分鐘驗證一次.

script:https://dl.dropboxusercontent.com/u/34743921/vpncheck.txt

透過檢查哨檢查,不該對Router進行連線的陌生ip一律進port scanners封鎖掉.

---

作者: fems    時間: 2016-11-15 01:41

非常好的参考素材，谢谢分享

---

作者: carw318    時間: 2018-4-5 15:45

gfx86674 師兄, vpncheck.txt 不能下載了, 請問有沒有其他網能下載 ? 謝謝 ~

---

作者: carlchan    時間: 2018-5-30 10:18

Any updated method   ?

---

歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/)

Powered by Discuz! 7.2