Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. TP-Link WR1043ND router
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2023-12-13 05:20

    PROHARDVER!

    TP-Link WR1043ND - N450 router

Új hozzászólás Aktív témák

  • #25172 vargalex Topikgazda sto1911 #25164
    Új Válasz #25172
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    vargalex

    Topikgazda

    válasz sto1911 #25164 üzenetére

    Még annyi, hogy ha te kívülről is a 22-es porton szeretnéd, akkor a /etc/firewall.user-ben (LuCI-ban Network->Firewall->Custom Rules)-ban az SSH Brute Force protection-hoz tartozó PROTECTEDPORT-ot írd át 22-re, majd indítsd újra a tűzfalat.

  • #25169 vargalex Topikgazda sto1911 #25164
    Új Válasz #25169
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    vargalex

    Topikgazda

    válasz sto1911 #25164 üzenetére

    Hi!

    Igen, a dropbear (SSH daemon) valóban úgy van config-olva, hogy a 22-es porton hallgasson. Az, hogy kívülről a 2222-es porton legyen elérhető, tűzfal szabályokkal szabályokkal oldottam meg, azért, hogy ne kelljen külön dropbear példányt futtatni. Illetve ezen a porton Brute Force támadás elleni védelem is megvalósításra került.

    Az ezt végző tűzfal szabályok:

    /etc/config/firewall-ban (LuCI-ban Network->Firewall->Traffic Rules):

    config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'ssh_WAN'
    option 'src' 'wan'
    option 'proto' 'tcp'
    option 'dest_ip' '192.168.1.1'
    option 'dest_port' '22'

    Ez ugye annyit csinál, hogy a WAN oldalról a 192.168.1.1-es IP 22-es portjára irányuló forgalmat engedélyezi (ez átirányítás nélkül nem lehetséges, mert kívülről nem megcímezhető a 192.168.1.1).

    Illetve hozzá tartozóan a /etc/firewall.user-ben (Luci-ban Network->Firewall->CustomRules

    iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --set --name $SERVICE -j DNAT --to-destination 192.168.1.1:$SERVICEPORT
    iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j DNAT --to-destination 192.168.1.1:$BRUTEFORCE_DROPPORT
    iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --rcheck --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j LOG --log-prefix "BruteForce-${SERVICE} "

    Ez forwardolja a WAN oldalra 2222-es portra érkező kérést a 192.168.1.1 22-es portjára, miközben figyeli a próbálkozások számát. A megadott küszöbérték elérésekor egy nem használt (DROP-olt) portra irányítja és logol.

  • #25165 kbhuinfo tag sto1911 #25164
    Új Válasz #25165
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    kbhuinfo

    tag

    válasz sto1911 #25164 üzenetére

    Mivel a lease time és mac összerendelés elég szigorú itt, ezért várnom kell délig, hogy teszteljek...
    Este jön a szerelő, remélem hoz modemet magával.

    Köszi a választ, majd jelzem, hogy mi az eredmény kb. 13:00 körül!

    Üdv,
    Balázs

Új hozzászólás Aktív témák