Firewall - Adress List

invisible

Zdravím,

nerad otravuji s takovýmto dotazem, ale přece mi nedalo a musel jsem napsat, v mikrotiku jsem v životě nic neskriptoval, chtěl bych se proto optat, když mám udělaný filtr na FTP a SSH přístupy, tzn.: někdo přistoupí 5x za minutu tak ho to na 10 minut dropuje, tak jestli by bylo možné nějakým skriptem uvést v provoz následující: Někdo se pokouší přihlásit, a pokud popáté špatně zadá heslo a jeho IP adresa spadne do adress listu s označením "blacklist" tak bych potřeboval, aby mikrotik zaslal email s touhle novou IP adresou, je to proto, že když je těch útoků víc, špatně se dohledávají v Logu abych jim v případě že to byla skutečně nějaká Ruská či Čínská IP dal trvalý DROP, pokud něco takového lze udělat, budu rád když mi někdo kladně odpoví, či dokonce nějaká dobrá duše alespoň naznačí jak na to :)

Předem děkuji za odpovědi.

ludvik

Hledej filtr proti spammerům a uprav si ho. Někde tu je. Využívá právě address-list s timeoutem a počítání konexí.

Ale - tvoji podmínku na MK zaručeně neuděláš. Nedokážeš reagovat na login (ať už správný nebo špatný) FTP serveru.

invisible

Asi jsi mě špatně pochopil, filtr mám, všechno funguje jak mám, jen potřebuji zasílat email o tom že do adress listu přibyla nová IP, ale pouze adresa s označením blacklist, protože používám FTP_stage a SSH_stage, pro 5 neplatných pokusů, omlouvám se jestli jsem pochopil špatně já tebe :)

ludvik

Jak tedy na MK poznáš špatné přihlášení na nějakou službu?

Ale pak jsem tě opravdu nepochopil. Pokud jde jen o email, tak ve scriptu použiješ vlastně asi všechno, co jde použít i ručně v terminálu. A vcelku to odpovídá i klikání ve winboxu. Takže email se pošle jako "/tool e-mail send PARAMETRY". Případně můžeš logovat vlastní hlášky ... např. " info TEXT", pak už se to dohledává lépe.

invisible

Na FTP to poznám pomocí content: "530 Login incorrect" a SSH jen pokusy o přihlášení, nepoznávám dobrý a špatný login, protože stejně se 5x za minutu na SSH nelognu a používám tam new connection, tudíž mě to nezabanuje za již otevřený terminál kde něco dělám, tohle by mi fungovalo zhruba tak jak chci, jen prostě nevím, jak odeslat email, u kterýho je podmínka že se odešle když přibyde v na balcklistu nová IP a aby ten email obsahoval tu danou IP adresu + datum :-(