[研究所] MikroTik RouterOS 學習 (持續更新)

gfx

1603分

7741樓

gfx

個人積分：1603分

文章編號：82317561

top100011 wrote:
請問一下目前因為很多(恕刪)

密碼輸入3次錯進黑名單，script編寫有困難；
但觸動帳號後5分鐘內未登入進黑名，我倒是有準備：

/ip firewall mangle
add action=jump chain=input comment="vpn point" connection-state=new dst-port=1723,443,1194 jump-target=point protocol=tcp in-interface=pppoe-out1
add action=jump chain=input connection-state=new dst-port=1701,500,4500 jump-target=point protocol=udp in-interface=pppoe-out1
add action=return chain=point src-address-list=mobile
add action=add-src-to-address-list address-list=temp address-list-timeout=6m chain=point src-address-list=!temp

/ip firewall raw
add action=accept chain=prerouting src-address-list=mobile
add action=drop chain=prerouting src-address-list=Scanners

/system script add

:local date [/system clock get date]
:local clock [/system clock get time]
:foreach i in=[/log find topics~"ppp" message~"logged in"] do={
 :local timein [/log get $i time]
 :local info [/log get $i message]
 :local caller [:pick $info ([:find $info "from"]+5) [:len $info]]

 :local ex1 (8:0:0>$clock && [:pick $timein 0 6]=[:pick $date 0 6])
 :set ex1 ($ex1 && [:pick $timein 7 15]>=($clock-0:1:0))

 :local ex2 ($clock>=8:0:0 && [:len $timein]=8)
 :set ex2 ($ex2 && $timein>=($clock-0:1:0))

 :local ex3 ($clock=0:0:0 && [:len $timein]=8)
 :set ex3 ($ex3 && $timein>23:59:00)

 :if ($ex1 || $ex2 || $ex3) do={
   :do {/ip firewall address-list remove [find list~"(temp|Scanners|mobile)" address=$caller dynamic]} on-error={}
   :do {/ip firewall address-list add list=mobile address=$caller timeout=1d} on-error={}
 }
}

/system script add

:global vpn
:local connected [/ip firewall address-list find list=temp dynamic]

:local scanners 0
:foreach i in=$connected do={
  :if ([/ip firewall address-list get $i timeout]<0:1:0) do={
    :do {/ip firewall address-list add list=Scanners address=[get $i address] timeout=1d} on-error={}
    /ip firewall address-list remove $i ; :set scanners ($scanners+1)
  }
}
:if ([:len $connected]>$scanners) do={:set vpn ($vpn-1)}

/system scheduler add

/system script run vpn-check ; :delay 3s

:global vpn ; :if ([:typeof $vpn]!="num") do={:set vpn 0}
:local check [/ip firewall mangle get [find src-address-list="!temp"] byte]
:if ($vpn!=$check) do={:set vpn $check ; /system script run vpn-server}

top100011

2068分

7742樓

top100011

個人積分：2068分

文章編號：82319936

gfx wrote:
密碼輸入3次錯進黑名單，script編寫有困難；
但觸動帳號後5分鐘內未登入進黑名，我倒是有準備：

謝謝 gfx大，我再來測試使用看看，謝謝~~~~

----------

剛有測試下，我手機用 4G 連VPN 到我的 RB750，先故意帳號打錯
在Address Lists 有多一個 temp 倒數5分鍾

但5分鍾後好像沒標記我 4G IP 鎖住？
然後我再正確帳號去連接還是連的到

我有需要改什麼地方嗎？還是我PPTP 名稱要對應你的設定檔呢？

而且設好後發現有幾個IP要嘗試試進來？
真可怕><，但好像也沒鎖他們的IP

gfx

1603分

7743樓

gfx

個人積分：1603分

文章編號：82321621

top100011 wrote:
謝謝 gfx大，我(恕刪)

vpn-check是將temp內的指定ip轉到mobile，代表有成功連線。
vpn-server是將temp倒數時間不到1m的，丟到Scanners黑名單。

所以有連線成功的ip，應該會在mobile出現；進黑名單的ip，則會在Scanners出現。

這邊設6分鐘，代表temp內ip倒數超過過5分鐘的將被vpn-server抓進黑名單。
設4分鐘，代表ip倒數超過3分鐘的將被vpn-server抓進黑名單。

至於成功連線的ip，透過vpn-check直接從temp裡消滅，ip自然不會觸發vpn-server抓進黑名單的可能。

foolad

644分

7744樓

foolad

個人積分：644分

文章編號：82321709

可不可以請教版上諸位專家
RouterOS可以透過什麼方式，設定固定哪一個時段開始就停用接中華電信MOD？
小弟設備是RB750Gr3

謝謝大家

小弟很樂意分享我的經驗、但是拜託不要一再的提醒我肚子很大...

gfx

mod要確定接在rb750gr3上面才能控制時間

2021-07-04 15:15

foolad

644分

7745樓

foolad

個人積分：644分

文章編號：82321770

foolad wrote:
可不可以請教版上諸位(恕刪)

小弟有參照
http://downager.blogspot.com/2017/03/routeros-mod-router.html
這裡的介紹並完成設定、但似乎沒有下一步了...Orz

求教於您

小弟很樂意分享我的經驗、但是拜託不要一再的提醒我肚子很大...

gfx

1603分

7746樓

gfx

個人積分：1603分

文章編號：82321845

foolad wrote:
小弟有參照http:(恕刪)

假設mod是接在ether2，在/system scheduler新增兩個規則：

啟動：/interface enable ether2
關閉：/interface disable ether2

這樣就行

foolad

644分

7747樓

foolad

個人積分：644分

文章編號：82321931

gfx wrote:
啟動：/interface enable ether2
關閉：/interface disable ether2

以小弟設定為例、是不是設定改成
/interface enable 1F-MOD
/interface disable 1F-MOD
即可？

謝謝您

抱歉問題愚魯
小弟不具資工相關知識、見笑於諸位

小弟很樂意分享我的經驗、但是拜託不要一再的提醒我肚子很大...

gfx

/interface enable “1F-MOD”

2021-07-04 15:59

gfx

/interface disable “1F-MOD”

2021-07-04 16:00

foolad

644分

7748樓

foolad

個人積分：644分

文章編號：82322048

感謝gtx兄的指導，
謝謝您

小弟很樂意分享我的經驗、但是拜託不要一再的提醒我肚子很大...

top100011

2068分

7749樓

top100011

個人積分：2068分

文章編號：82323725

gfx wrote:
這邊設6分鐘，代表temp內ip倒數超過過5分鐘的將被vpn-server抓進黑名單。
設4分鐘，代表ip倒數超過3分鐘的將被vpn-server抓進黑名單。

至於成功連線的ip，透過vpn-check直接從temp裡消滅，ip自然不會觸發vpn-server抓進黑名單的可能。

好像沒看到 mobile 的連接？
另外我是故意連線錯誤超過5分鍾，理論我的IP 已經被鎖了，但卻還能連進去><

需要給你什麼資訊嗎？還是 gfx 大大我再私訊給你，有空時再幫我連接測試看看呢~？

gfx

能否私信給我臨時的winbox地址/帳密，不然script光靠通信很難修正錯誤

2021-07-04 21:10

ouchwe

68分

7750樓

ouchwe

個人積分：68分

文章編號：82329004

top100011 wrote:
請問一下目前因為很多(恕刪)

官方其實有預設登入錯誤拉到黑名單的條件
在30秒內連續登入5次後，於第6次就會拉到黑名單一天
如果是從內網去登入就不會有這限制
預設偵測阻擋的PORT 有21,22,23,8291
只對TCP port有效
port可以自己改
你可以試試看

/ip firewall filter
add action=accept chain=input comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\
\\A9w--> \\B6\\B6\\A7\\C70 (\\A9\\F1\\A6\\E6\\A6\\A8\\A5\\\\\\B5n\\A4J\\AB\\E1\\AA\\BAIP)" \
dst-port=21,22,23,8291 protocol=tcp src-address-list=login-ok
add action=drop chain=input comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\A9\\
w--> \\B6\\B6\\A7\\C71 , \\B3o\\A5\\\\\\AF\\E0\\ACO\\A7P\\C2_Internet\\AA\\BA\\AD\\AF\\A5\\
\\CDiP\\B1\\FD\\B9\\C1\\B8\\D5\\B3s\\C4\\F2\\B5n\\A4J\\B8\\F4\\A5\\D1\\BE\\B9\\A1A\\A6b30\\AC\\
\\ED\\A4\\BA\\B3s\\C4\\F2\\B5n\\A4J\\A4\\AD\\A6\\B8\\AB\\E1\\A1A\\A9\\F3\\B2\\C4\\A4\\BB\\A6\\B8\\
\\B5n\\A4J\\AE\\C9\\B9\\EF\\A4\\E8\\AA\\BAIP\\B4N\\B7|\\B3Q\\A9\\D4\\B6\\C2\\B5L\\AAk\\A6A\\B9\\
\\C1\\B8\\D5(\\A8\\C3\\A5B\\A6\\DB\\B0\\CA\\A9\\D4\\B6\\C21\\A4\\D1)\\A1I\\A6p\\AAG\\ACO\\B1q\\
\\A4\\BA\\BA\\F4\\A5h\\B5n\\A4J\\B4N\\A4\\A3\\B0\\BB\\B4\\FA\\A1C\\B9w\\B3]\\B0\\BB\\B4\\FA\\AA\\
\\FD\\BE\\D7\\AA\\BAPORT \\A6\\B321,22,23,8291\\B3o6\\AD\\D3\\A1C" dst-port=21,22,23,8291 \
protocol=tcp src-address-list=login_error_ip
add action=add-src-to-address-list address-list=login_error_ip \
address-list-timeout=1d chain=input comment=\
"\B6\B6\A7\C7\A6\EC\B8m\A5\B2\B6\B7\A9T\A9w--> \B6\B6\A7\C72" \
connection-state=new dst-port=21,22,23,8291 protocol=tcp src-address-list=\
ros_service_login5
add action=add-src-to-address-list address-list=ros_service_login5 \
address-list-timeout=1d30s chain=input comment=\
"\B6\B6\A7\C7\A6\EC\B8m\A5\B2\B6\B7\A9T\A9w--> \B6\B6\A7\C73" \
connection-state=new dst-port=21,22,23,8291 protocol=tcp src-address-list=\
ros_service_login4
add action=add-src-to-address-list address-list=ros_service_login4 \
address-list-timeout=30s chain=input comment=\
"\B6\B6\A7\C7\A6\EC\B8m\A5\B2\B6\B7\A9T\A9w--> \B6\B6\A7\C74" \
connection-state=new dst-port=21,22,23,8291 protocol=tcp src-address-list=\
ros_service_login3
add action=add-src-to-address-list address-list=ros_service_login3 \
address-list-timeout=30s chain=input comment=\
"\B6\B6\A7\C7\A6\EC\B8m\A5\B2\B6\B7\A9T\A9w--> \B6\B6\A7\C75" \
connection-state=new dst-port=21,22,23,8291 protocol=tcp src-address-list=\
ros_service_login2
add action=add-src-to-address-list address-list=ros_service_login2 \
address-list-timeout=30s chain=input comment=\
"\B6\B6\A7\C7\A6\EC\B8m\A5\B2\B6\B7\A9T\A9w--> \B6\B6\A7\C76" \
connection-state=new dst-port=21,22,23,8291 protocol=tcp src-address-list=\
ros_service_login1
add action=add-src-to-address-list address-list=ros_service_login1 \
address-list-timeout=30s chain=input comment=\
"\B6\B6\A7\C7\A6\EC\B8m\A5\B2\B6\B7\A9T\A9w--> \B6\B6\A7\C77" \
connection-state=new dst-port=21,22,23,8291 protocol=tcp \
src-address-list=!Lan_ip
add action=add-src-to-address-list address-list=login-ok \
address-list-timeout=2d chain=input comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\
\\B6\\B7\\A9T\\A9w--> \\B6\\B6\\A7\\C78 (\\A6\\A8\\A5\\\\\\B5n\\A4J\\AB\\E1\\AA\\BAIP\\A4\\A3\\
\\A8\\FC\\B5n\\A4J\\A6\\B8\\BC\\C6\\BCv\\C5T)" connection-rate=200k-5M \
connection-state=established dst-port=21,22,23,8291 in-interface-list=WAN \
protocol=tcp src-address-list=!login-ok

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！