返回列表 發帖

PPTP SERVER 如何增強保安或防止撞密碼?

近日發現大陸IP時不時連接PPTP。 如何增強保安或防止撞密碼?

23:12:42 pptp,info TCP connection established from 42.120.84.11
23:12:43 pptp,info TCP connection established from 42.120.84.228

本帖最後由 moses 於 2015-3-4 10:22 編輯

回復 4# gfx86674


    正常认证后 connection-state将会变为established
我目前家里的就是这么配置的. 我的mAP 2n, RB951G-2HnD, 连接到RB450G上都没有问题.

TOP

本帖最後由 gfx86674 於 2015-3-4 03:07 編輯

回復 3# moses
您把winbox,ssh認證腳本修改成vpn用,您自己親身測試過嗎?

小弟過去就曾實測過。

vpn連線時不會只有一個new connections。
也就是vpn client在與伺服器連接過程,
filter認為多個new connections在短時間內出現,視為重複登入。
於是就直接將用戶ip丟黑名單了,試問這要怎使用vpn啊?

這方法不可行

TOP

本帖最後由 moses 於 2015-3-4 02:24 編輯
  1. /ip firewall filter
  2. add action=drop chain=input comment="Drop pptp brute forcers 7D" dst-port=1723 protocol=tcp src-address-list=pptp_blacklist
  3. add action=add-src-to-address-list address-list=pptp_blacklist address-list-timeout=1w chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage3
  4. add action=add-src-to-address-list address-list=pptp_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage2
  5. add action=add-src-to-address-list address-list=pptp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage1
  6. add action=add-src-to-address-list address-list=pptp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp
複製代碼
代码说明:将连续尝试三次PPTP连接的用户IP添加至地址列表"pptp_blacklist"并且禁止此列表中IP地址访问你的RouterBoard 7天.

其他服务包括SSH, L2TP之类的服务都可以如此添加, 添加前注意修改服务是UDP/TCP, 服务端口号就好, 必要的时候可以加上log prefix.

TOP

匯入:
  1. /ip firewall filter add action=drop chain=input protocol=tcp \
  2.   src-address=42.120.0.0/13 dst-port=1723
複製代碼

TOP

返回列表