註冊
登錄
論壇
搜索
幫助
導航
默認風格
默認風格_熄燈
默認風格_農曆新年
私人消息 (0)
公共消息 (0)
系統消息 (0)
好友消息 (0)
帖子消息 (0)
電訊茶室
»
路由器討論 (Router)
»
MikroTik / RouterOS
» PPTP SERVER 如何增強保安或防止撞密碼?
返回列表
發帖
ethan590
發短消息
加為好友
ethan590
當前離線
UID
33319
帖子
14
精華
0
積分
0
閱讀權限
10
在線時間
20 小時
註冊時間
2015-1-18
最後登錄
2023-9-17
新手上路
1
#
跳轉到
»
正序看帖
打印
字體大小:
t
T
發表於 2015-3-4 00:20
|
只看該作者
PPTP SERVER 如何增強保安或防止撞密碼?
近日發現大陸IP時不時連接PPTP。 如何增強保安或防止撞密碼?
23:12:42 pptp,info TCP connection established from 42.120.84.11
23:12:43 pptp,info TCP connection established from 42.120.84.228
收藏
分享
moses
發短消息
加為好友
moses
當前離線
UID
33286
帖子
22
精華
0
積分
0
閱讀權限
10
在線時間
47 小時
註冊時間
2014-12-25
最後登錄
2019-2-15
新手上路
5
#
發表於 2015-3-4 09:38
|
只看該作者
本帖最後由 moses 於 2015-3-4 10:22 編輯
回復
4#
gfx86674
正常认证后 connection-state将会变为established
我目前家里的就是这么配置的. 我的mAP 2n, RB951G-2HnD, 连接到RB450G上都没有问题.
TOP
gfx86674
發短消息
加為好友
gfx86674
當前離線
UID
32328
帖子
331
精華
0
積分
0
閱讀權限
10
來自
New Taipei City
在線時間
689 小時
註冊時間
2013-4-28
最後登錄
2024-11-21
新手上路
4
#
發表於 2015-3-4 02:51
|
只看該作者
本帖最後由 gfx86674 於 2015-3-4 03:07 編輯
回復
3#
moses
您把winbox,ssh認證腳本修改成vpn用,您自己親身測試過嗎?
小弟過去就曾實測過。
vpn連線時不會只有一個new connections。
也就是vpn client在與伺服器連接過程,
filter認為多個new connections在短時間內出現,視為重複登入。
於是就直接將用戶ip丟黑名單了,試問這要怎使用vpn啊?
這方法不可行
TOP
moses
發短消息
加為好友
moses
當前離線
UID
33286
帖子
22
精華
0
積分
0
閱讀權限
10
在線時間
47 小時
註冊時間
2014-12-25
最後登錄
2019-2-15
新手上路
3
#
發表於 2015-3-4 02:21
|
只看該作者
本帖最後由 moses 於 2015-3-4 02:24 編輯
/ip firewall filter
add action=drop chain=input comment="Drop pptp brute forcers 7D" dst-port=1723 protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist address-list-timeout=1w chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp
複製代碼
代码说明:将连续尝试三次PPTP连接的用户IP添加至地址列表"pptp_blacklist"并且禁止此列表中IP地址访问你的RouterBoard 7天.
其他服务包括SSH, L2TP之类的服务都可以如此添加, 添加前注意修改服务是UDP/TCP, 服务端口号就好, 必要的时候可以加上log prefix.
TOP
gfx86674
發短消息
加為好友
gfx86674
當前離線
UID
32328
帖子
331
精華
0
積分
0
閱讀權限
10
來自
New Taipei City
在線時間
689 小時
註冊時間
2013-4-28
最後登錄
2024-11-21
新手上路
2
#
發表於 2015-3-4 00:52
|
只看該作者
匯入:
/ip firewall filter add action=drop chain=input protocol=tcp \
src-address=42.120.0.0/13 dst-port=1723
複製代碼
TOP
返回列表
VoIP研究室(VoIP Lab)
VoIP 研究室
Asterisk
Elastix
FreeSWITCH
OBi
Linksys ATA
Other ATA
Hard/Soft Phone
VOIP Provider/Service
VOIP News
Others
網絡/寬頻及固網討論
VPN 研究室
網絡及寬頻討論
路由器討論 (Router)
MikroTik / RouterOS
DD-WRT
OpenWRT
Gargoyle
pfSense
ClearOS
Others
固網電話討論
流動通訊應用
視像通訊
流動寬頻/流動數據
網絡商討論
手機網絡商
Wi-Fi
手機討論
iPhone/iPad
Android系統
Symbian系統
手機討論
吹水閒聊
吹水茶座
合法集會
Project 0
新手報到
新手報到區
茶室董事廳
公告欄
意見收集站
[收藏此主題]
[關注此主題的新回復]
[通過 QQ、MSN 分享給朋友]