-
Fototrend
OpenWrt topic
Új hozzászólás Aktív témák
-
vargalex
Topikgazda
válasz
csabi10
#20550
üzenetére
Nem teljesen értem. Mit jelent az, hogy X próbálkozás után? Hova próbálkoznának és mivel? Jól értem, hogy egy jelszó kezelőhöz jelszóval?
Ha igen, akkor én azt csinálnám, amit korábban írtam (persze fejlesztőként lehet, hogy könnyen mondom): csinálnék egy API-t a routeren, amit a jelszókezelő (vagy script, bármi) az X. sikertelen próbálkozás után meghívna a forrás IP-vel és az API egyszerűen a tűzfalon a kérdéses portot zárná az IP felől. Ez az API nyilván csak a NAS felől lenne elérhető esetleg jelszavas/tokenes authentikációval. -
vargalex
Topikgazda
-
vargalex
Topikgazda
válasz
csabi10
#20520
üzenetére
Szia!
Ahogy a többiek is írták, globális beállításra van lehetőséged, a NAS-ra történt sikertelen bejelentkezésekről a router nem értesül. (Attól tekintsünk el, hogy saját fejlesztéssel akár meg is oldható, mert a NAS tud a sikertelen bejelentkezésekről, a routerre pedig fejleszthető egy LAN oldalról elérhető API - pl. REST API -, amivel nyitható/zárható a tűzfal, amit a NAS hívhatna.)
Mivel VPN-t nem igazán szeretnél, így számodra inkább a port knocking-ot javasolnám. Itt két lehetőséged van:
1. Simple port knocking: ekkor a kliensnek a router (szerver) zárt portjainak egy bizonyos szekvenciáján (sorrendjén) kell "kopogtatni", aminek hatására a router kinyitja a forrás IP-ről az ezektől akár teljesen független portot (portokat).
2. Single Packet Authorization: egyetlen encrypted csomaggal "kopogtatás". fwknop-al valósítható meg (LuCI felület is van hozzá). -
attila.86
tag
válasz
csabi10
#20522
üzenetére
Amire te szeretnéd, arra a nasok beépített tűzfalát lehet rávenni. Sajnos a router, mint tűzfal sosem fogja tudni, melyik a sikeres belépés, melyik nem a nasra. Amúgy tényleg jó volna valami dinamikus blocklist openwrt-n ,amivel lehetne szűrni a sok botos próbálkozást, de ez sem volna erre való, amit szeretnél.
-
xabolcs
őstag
válasz
csabi10
#20525
üzenetére
Azt, hogy egy adott port forward-ot "mennyire lehessen hasznalni".
A fenti kepen lathato 500 keres naponta azt jelenti, hogy egy nap alatt legfeljebb 500 kerest teljesit es az 501-ik keres mar hibara fut.
Telepits Tailscale-t a NAS-odra meg a mobil eszkozeidre es maris hason belulre kerultel.
Onnan mar csak az IP cimet kell beallitanod. -
fuximaxi
senior tag
válasz
csabi10
#20520
üzenetére
Fail2Ban-nak olvass utána, de leginkább ne nyisd ki a portot ha nem muszáj. Ha valamiért mégis akkor a legjobb, ha csak dedikált ip-nek nyitod ki. Ha te akarsz távolról bejutni, akkor használj vpn-t, a hálózatra kapcsolódáshoz.
Hostolt szervert használok melóban amire csak ssh tunnelen keresztül lehet bejelentkezni tanusítvánnyal, de ugye egy port nyitva van. Ezen a porton jellemzően percenként legalább 10-15 próbálkozás van általában orosz illetve kínai ip címekről de van olyan is, hogy másodpercenként ~10.
Új hozzászólás Aktív témák
vargalex- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
- MEGA AKCIÓ! - Jogtiszta Windows - Office & Autodesk & CorelDRAW - Azonnal - Számlával - Garanciával
- Számlás!Steam,EA,Epic és egyébb játékok Pc-re vagy XBox!
- Adobe Előfizetések - Adobe Creative Cloud All Apps - 12 Hónap - 15% AKCIÓ
- Kaspersky, BitDefender, Avast és egyéb vírusírtó licencek a legolcsóbban, egyenesen a gyártóktól!
- Telefon felvásárlás!! Samsung Galaxy S25, Samsung Galaxy S25 Plus, Samsung Galaxy S25 Ultra
- HIBÁTLAN iPhone XR 64GB Red-1 ÉV GARANCIA - Kártyafüggetlen, MS4490,100% Akksi
- Apple iPhone 16 Pro 128GB, Kártyafüggetlen, 1 Év Garanciával
- ÚJ MSI Katana 15 HX - 15.6" QHD 165Hz - i7-14650HX - 16GB - 1TB - RTX 5060 - Win11 - 3 év gari - HUN
- LG 77C4 - 77" OLED evo - 4K 144Hz - 0.1ms - NVIDIA G-Sync - FreeSync - HDMI 2.1 - 1000 Nits
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest