[Как запретить доступ к роутеру по внешнему IP, но оставить по доменному имени KeenDNS?]

10 часов назад, Gim12 сказал:

Да, там пять ip. Попробую их внести в белый список и посмотреть поможет ли это. 

Не помогло. Через пару часов KeenDNS отвалился.

Сношу KeenDNS . Светить вебморду кенетика всему интернету нет желания.

[Добавить функционал 802p]

Здравствуйте.

Мой провайдер делит VLAN по приоритетам 802p

К примеру, для настройки интернета нужно указать VLAN 10 приоритет по 802p - 2

Без указания приоритета, работает только вилан по приоритету 0 у моего провайдера это служба tr 069 Остальные виланы не работают.

Прошу добавить в будущие прошивки деление VLAN по приоритету 802p

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

40 минут назад, Le ecureuil сказал:

Так self-test и видео-то будут? Я тоже могу много что утверждать, вас попросили предоставить документальные свидетельства бага. 

Записал. Кому предоставить?

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

2 часа назад, sergeyk сказал:

Пробовали на 3.01.A.4.0-0?

Попробовал. Девайс в подписи. Браузер FF 60.7.2 esr

Итак, работает это через пень колоду.

 

Июн 26 14:32:38
ndm
Core::Scgi::Auth: authentication failed for user admin.
Июн 26 14:32:58
ndm
Core::Syslog: last message repeated 3 times.
Июн 26 14:32:58
ndm
Netfilter::Util::Conntrack: flushed 1 IPv4 connections for *.15.77.
Июн 26 14:32:58
ndm
Netfilter::Util::BfdManager: "Http": ban remote host *.15.77 for 60 minutes.
Июн 26 14:33:04
ndm
Core::Scgi::Auth: authentication failed for user admin.
Июн 26 14:36:24
ndm
Core::Syslog: last message repeated 40 times.
Июн 26 14:36:38
ndm
Core::Scgi::AuthPool: cleanup: 1 -> 0.
Июн 26 14:36:54
ndm
Core::Scgi::Auth: authentication failed for user admin.
Июн 26 14:37:08
ndm
Core::Syslog: last message repeated 3 times.
Июн 26 14:37:19
ndm
Core::Scgi::AuthPool: cleanup: 1 -> 0.

Получается такая штука. Бан я получил в 14:33 Но до 14:37 продолжал подбирать пароль. Попыток таких по логу было 40 штук, а то и более. Вбивал пока не надоело. Полностью по вебу морды получил блок в 14:37 За это время попыток 100 мог бы набить легко.

 

 

 

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

6 минут назад, sergeyk сказал:

components list draft
components commit

 

Вопрос снимается. Нужно было оказывается сначала перейти на бету.

Счас затестим

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

26 минут назад, sergeyk сказал:

Определенно.

Где ее скачать. По команде

components list delta
components commit

У меня появился пункт отладочная версия. Но версию отладочную почему то предлагает 2.15.C.4.0-1

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

2 минуты назад, sergeyk сказал:

Пробовали на 3.01.A.4.0-0? 

Нет. Пробовал на 3.0

А что стоит попробовать?

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

9 минут назад, sergeyk сказал:

Подключение прямое или через облако? 

Не понял что имеется ввиду.

Заходил на свой белый ip и тестировал.

Если имеются ввиду настройки KeenDNS то там стоит прямой доступ. Хотя там без разницы что указать при белом ip, что облако что прямой доступ. Доступ вебморде все равно доступен становится по ip при установленной галке Разрешить доступ из Интернета

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

38 минут назад, Le ecureuil сказал:

Вообще вы странные вещи говорите, так как при бане срабатывает очистка conntrack, и все сессии с браузером принудительно завершаются. 

Проверял это неоднократно, и не вижу вашей ситуации.

Не могли бы вы прислать видео с захватом экрана + self-test после всех манипуляций, когда вы пробуете скажем 10 раз неправильный логин/пароль,  а вам роутер продолжает отвечать?

Это будет куда конструктивнее.

 Не знаю какими браузерами вы пробовали, но у меня на мобилки стоит доподобная опера а в компе мозила и сессии никакие они не завершают.

Вот вам лог когда проверял с мобилки с установленной оперой

Июн 22 09:13:30
ndm
Core::Scgi::Auth: authentication failed for user admin.
Июн 22 09:13:37
ndm
Core::Syslog: last message repeated 2 times.
Июн 22 09:13:37
ndm
Netfilter::Util::Conntrack: flushed 2 IPv4 connections for *.*.228.254.
Июн 22 09:13:37
ndm
Netfilter::Util::BfdManager: "Http": ban remote host *.*.228.254 for 60 minutes.
Июн 22 09:13:44
ndm
Core::Scgi::Auth: authentication failed for user admin.
Июн 22 09:13:59
ndm
Core::Syslog: last message repeated 2 times.
Июн 22 09:14:08
ndm
Core::Scgi::AuthPool: cleanup: 2 -> 1.
Июн 22 09:14:54
ndm
Core::Scgi::Auth: authentication failed for user admin.
Июн 22 09:15:03
ndm
Core::Scgi::AuthPool: cleanup: 2 -> 1.
Июн 22 09:15:19
ndm
Core::Scgi::Auth: authentication failed for user admin.
Июн 22 09:15:28
ndm
Core::Scgi::AuthPool: cleanup: 2 -> 1. 

Видите по логу я получил бан по ip. Но в открытой странице браузера продолжаю дальше подбирать пароль и кенетик отвечает. Хотя мой ip как бы забанен на 60 минут.

 

[Как запретить доступ к роутеру по внешнему IP, но оставить по доменному имени KeenDNS?]

47 минут назад, r13 сказал:

show cloud  в cli

там будет список облачных ip, но они могут и поменяться.

Да, там пять ip. Попробую их внести в белый список и посмотреть поможет ли это.

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

Вот приведу вам пример,  как такая защита работает на gpon терминале Huawei

При неверном вводе пароля страница перезагружается (самим браузером) и появляется надпись

При трехкратном неверном вводе (страница каждый раз перезагружается принудительно)

Появляется подпись с обратным отсчетам времени. И поля ввода логина и пароля становятся не активными.

Даже если зайти повторно с забаненного ip, получаем эту надпись с банном и отсчетам времени.

[Как запретить доступ к роутеру по внешнему IP, но оставить по доменному имени KeenDNS?]

В 19.06.2019 в 21:36, Gim12 сказал:

Да, но я этим заморочился и сделал по другому.

В межсетевом экране (провайдер) нужно создать два правила:

1. Запретить всем ip доступ по 80 порту

2. Разрешить доступ вашему статическому ip по 80 порту 

Нет не работает. Через некоторое время KeenDNS отваливается

Короче... протестировал я это и вдоль и поперек и могу сказать при наличии белого ip этот настроенный KeenDNS дыра в безопасности.
Как при настройке не выбирай, прямой доступ или доступ через облако. Но все равно вебморда кенетика светится на белом ip.
Если межсетевом экране настроить доступ по 80 порту только на нужные мне подсети, то доступ через KeenDNS отваливается. Получается хочешь пользоваться KeenDNS оставляй доступ к вебморде для всех ip. Прям радость для всех ботов которые долбятся подбирать пароли.
Ладно думаю настрою, защиту от перебора паролей... так и там недоделка кривая

 

Может кто знает нужные подсети ip кенетика, которые нужны для работоспособности KeenDNS.
А то посещают мысли забросить этот кенетик в дальний пыльный угол.

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

В 23.06.2019 в 13:56, Александр Рыжов сказал:

Почему-то меня не пустило. 15 минут пришлось гулять.

Бан есть.

Но есть косяк веб интерфейса. Когда получен бан по ip. С этого ip зайти нельзя.

Но.. Если до этого была открыта веб страница с мордой кенетика можно перебирать пароль до посинения и пофиг на бан.

Как проверить. Заходим на ip кенетика. Открывается веб морда кенетика. Вводим пару раз неверный пароль и получаем в логах бан по ip. Но с этой оставшееся открытой странице можно и дальше перебирать пароли и даже зайти под своим паролем. Кенетик продолжает успешно общаться с этой страницей.

А вот если во время бана перезагрузить страницу или повторно попытаться зайти на веб морду кенетика. То страница не откроется так как ip в бане.

п.с еще мне не понятно почему логи такие калечные. И это еще преуменьшил их значение. Даже если указать в конфиге

ip http log aut

то получаем ip атакующего только при его бане. Получается, атакующий может хоть каждый день перебирать пароль не попадая в бан, а я этого не узнаю. У меня на старом роутере каждый раз логировалось ip атакующего даже при однократном подборе пароля. А тут такая тарантайка, а логи бесполезные.

К примеру, у меня в старом роутере раз в день был заход с филиппинского ip и была однократная ежедневная попытка бота подобрать пароль. Я в логах это увидел и забанил этот ip.

В этом кенетике я так не сделаю. В логах ip его не засветится.

[Как запретить доступ к роутеру по внешнему IP, но оставить по доменному имени KeenDNS?]

55 минут назад, MDP сказал:

только 1 и 2 пункт местами надо переставить 

Ну я писал, как создавал.

А так, да. Первое правило должно быть разрешающее, второе запрещающее.

 

[Как запретить доступ к роутеру по внешнему IP, но оставить по доменному имени KeenDNS?]

On 5/15/2019 at 6:31 PM, ndm said:

Облачный доступ учитывает правила межсетевого экрана и NAT и эмулирует их работу. Если закрыть порт, облачный доступ тоже закроется. 

— правильный ответ.

Да, но я этим заморочился и сделал по другому.

On 4/23/2019 at 11:06 PM, stas stepanov said:

Так как же запретить доступ к роутеру по внешнему IP, но оставить по доменному имени типа mynet.keenetic.pro?

В межсетевом экране (провайдер) нужно создать два правила:

1. Запретить всем ip доступ по 80 порту

2. Разрешить доступ вашему статическому ip по 80 порту