-
Fototrend
TP-Link WR1043ND - N450 router
Új hozzászólás Aktív témák
-
-
pajanko
csendes tag
válasz
pajanko
#29942
üzenetére
root@OpenWrt:~# cat /etc/firewall.user
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.BRUTEFORCE_PROTECTION_START=3
BRUTEFORCE_DROPPORT=55555
PROTO=tcp
ROUTERIP=$(uci get network.lan.ipaddr)########################################
#SSH Brute Force protection on port 2222
PROTECTEDPORT=2222
SERVICEPORT=22
SERVICE=SSHecho Enabling Brute Force protection for $SERVICE on port $PROTECTEDPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --set --name $SERVICE -j DNAT --to-destination $ROUTERIP:$SERVICEPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j DNAT --to-destination $ROUTERIP:$BRUTEFORCE_DROPPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --rcheck --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j LOG --log-prefix "BruteForce-${SERVICE} "
################################################################################
#FTP Brute Force protection on port 2221
PROTECTEDPORT=2221
SERVICEPORT=21
SERVICE=FTPecho Enabling Brute Force protection for $SERVICE on port $PROTECTEDPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --set --name $SERVICE -j DNAT --to-destination $ROUTERIP:$SERVICEPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j DNAT --to-destination $ROUTERIP:$BRUTEFORCE_DROPPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --rcheck --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j LOG --log-prefix "BruteForce-${SERVICE} "
################################################################################
#Block URL on certain time for specified IP
#
#URL_STRING=facebook.com
#LOCAL_IP=192.168.1.188
#TIME_START=10:00
#TIME_END=16:00
#
#echo Blocking $URL_STRING from $LOCAL_IP at time interval $TIME_START - $TIME_END
#iptables -I FORWARD -s $LOCAL_IP -m string --string $URL_STRING --algo bm -m time --weekdays Mon,Tue,Wed,Thu,Fri --timestart $TIME_START --timestop $TIME_END -j DROP
######################################## -
pajanko
csendes tag
válasz
pajanko
#29940
üzenetére
root@OpenWrt:~# cat /etc/config/firewall
config defaults
option syn_flood '1'
option output 'ACCEPT'
option forward 'REJECT'
option input 'REJECT'config zone
option name 'lan'
option network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'config zone
option name 'wan'
option network 'wan'
option input 'DROP'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'config forwarding
option src 'lan'
option dest 'wan'config rule
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'config rule
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'config rule
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'config rule
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'config rule
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'config include
option path '/etc/firewall.user'config rule 'transmission_web'
option target 'ACCEPT'
option _name 'transmission_web'
option src 'wan'
option proto 'tcp'
option dest_port '9091'config rule
option target 'ACCEPT'
option _name 'ssh_WAN'
option src 'wan'
option proto 'tcp'
option dest_ip '192.168.1.1'
option dest_port '22'config rule
option target 'ACCEPT'
option _name 'ftp_WAN'
option src 'wan'
option proto 'tcp'
option dest_ip '192.168.1.1'
option dest_port '21'config rule
option target 'ACCEPT'
option _name 'Transmission'
option src 'wan'
option proto 'tcpudp'
option dest_port '21234'config rule
option target 'ACCEPT'
option _name 'Luci_HTTPS'
option src 'wan'
option proto 'tcp'
option dest_port '443'config rule
option src 'lan'
option name 'block_internet_access_IP'
option src_ip '192.168.1.181'
option target 'DROP'
option dest 'wan'
option extra '-m time --weekdays Mon,Tue,Wed,Thu,Fri --timestart 10:00 --timestop 22:00'
option enabled '0'config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp udp'
option dest_port '852'
option name 'luci' -
-
vargalex
Topikgazda
válasz
pajanko
#29926
üzenetére
Hi!
Gyaníthatóan saját tűzfal configod van, mivel a buildemben előre beállítottban az SSH a 2222-es porton érhető el, amin kicsi a valószínűsége, hogy egy robot próbálkozna. Másrészt a szintén a configgal beépített brute force támadás elleni védelem megfogná a 3. próbálkozás után.
-
doberman
senior tag
válasz
pajanko
#29928
üzenetére
szia.
hát nekem nincs 2 sávos routerem...
először is, a wifis eszközödnek (pl laptop, telefon) is tudnia kell az 5 gHz-et. ha nem tudja akkor marad a 2,4 gHz-es sáv... ott pedig csak 1-14 -ig vannak csatornák...z
most olvasom itt ,hogy
ez a kártya az bizony tudja az 5 gHz-et is... hmmm, még sosem volt 5 gHz-es eszközöm, de úgy állnék a kérdéshez, hogy valahol a kártya kezelőprogramjában körülnéznék, hogy a 2,4 - 5 gHz váltás - ki-be kapcsolás - aktiválás van -e benne. ha van akkor 5 gHz aktiválás, és a routerben állítgatás a wifis részben.
Új hozzászólás Aktív témák
vargalex- Laptop felvásárlás , egy darab, több darab, új , használt ! Korrekt áron !
- Vadiúj AM 4 procik! Raktáron! Kamatmentes rèszletre is! ÈRDEKLŐDJ!
- HIBÁTLAN iPhone 13 Pro 128GB Alpine Green -1 ÉV GARANCIA - Kártyafüggetlen, MS2978
- Telefon felvásárlás!! iPhone X/iPhone Xs/iPhone XR/iPhone Xs Max
- Samsung Galaxy S22 Ultra 5G 512GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest