类别: 产品参数文章    来源：www.nanyuetong.com

摘要：只要你的設備有連接網路，每天都會有世界各地的有心人會試圖破解登入你的機器。 (通常是在蒐集肉雞) 最常見的就是SSH登...

只要你的設備有連接網路，每天都會有世界各地的有心人會試圖破解登入你的機器。

(通常是在蒐集肉雞)

最常見的就是SSH登入，這些一般都是利用電腦加軟體然後自動的不停搜尋嘗試登入別人的機器，如果你的機器沒有設定密碼或是密碼太過簡單，這樣很容易就被成功登入，變成了所謂的肉雞。

所以，你的ROS一定要設定密碼，密碼不能太簡單，強烈建議把admin這個管理員帳號刪除掉，然後自己新增一個帳號ID使用。

上述這種情形通常只要關閉ROS的SSH功能或是更改SSH的22 port及限定IP登入就可以避免這種情況發生，

但是某些場合可能不可以關閉SSH或是更改SSH的22 port及限定IP登入, 這時候你可以參考底下方式來封鎖網路上這試圖要破解登入你機器的陌生人IP。

腳本導入後, 防火牆的順序位置必須固定,不可以更換順序.

 

稍微說明一下：

這腳本功能是判斷公網的陌生iP欲嘗試連續登入ROS，在30秒內連續 “欲登入” 5次後（不管是否登入成功與否），

於第六次登入時,對方的IP就會被拉黑無法再嘗試( Address-list 里面拉黑1天).

如果是在ROS底下使用局域網IP段去登入就不限制。

這腳本預設偵測阻擋的PORT 有TCP 21,22,23,8291這幾個ROS本身用的埠。

（可以自行新增要增加的port,例如1723 port的pptp）

進system -> scripts 里面 新增一個Script ,將附件內的腳本代碼貼上然後按RUN Script即可

這是設置好後的樣子

/ip firewall filter

add action=drop chain=input comment="\A2b\A2c\A2d\A2e\A2f\A2g\A2h 1 \A2h\A2g\A2f\A2e\A2d\A2c\A2b" disabled=no dst-port=21,22,23,8291 protocol=tcp src-address-list=login_error_ip
add action=add-src-to-address-list address-list=login_error_ip address-list-timeout=1d chain=input comment="\A2b\A2c\A2d\A2e\A2f\A2g\A2h 2 \A2h\A2g\A2f\A2e\A2d\A2c\A2b" connection-state=new disabled=no dst-port=21,22,23,8291 protocol=tcp \
    src-address-list=ros_service_login5
add action=add-src-to-address-list address-list=ros_service_login5 address-list-timeout=1d30s chain=input comment="\A2b\A2c\A2d\A2e\A2f\A2g\A2h 3 \A2h\A2g\A2f\A2e\A2d\A2c\A2b" connection-state=new disabled=no dst-port=21,22,23,8291 \
    protocol=tcp src-address-list=ros_service_login4
add action=add-src-to-address-list address-list=ros_service_login4 address-list-timeout=30s chain=input comment="\A2b\A2c\A2d\A2e\A2f\A2g\A2h 4 \A2h\A2g\A2f\A2e\A2d\A2c\A2b" connection-state=new disabled=no dst-port=21,22,23,8291 protocol=\
    tcp src-address-list=ros_service_login3
add action=add-src-to-address-list address-list=ros_service_login3 address-list-timeout=30s chain=input comment="\A2b\A2c\A2d\A2e\A2f\A2g\A2h 5 \A2h\A2g\A2f\A2e\A2d\A2c\A2b" connection-state=new disabled=no dst-port=21,22,23,8291 protocol=\
    tcp src-address-list=ros_service_login2
add action=add-src-to-address-list address-list=ros_service_login2 address-list-timeout=30s chain=input comment="\A2b\A2c\A2d\A2e\A2f\A2g\A2h 6 \A2h\A2g\A2f\A2e\A2d\A2c\A2b" connection-state=new disabled=no dst-port=21,22,23,8291 protocol=\
    tcp src-address-list=ros_service_login1
add action=add-src-to-address-list address-list=ros_service_login1 address-list-timeout=30s chain=input comment="\A2b\A2c\A2d\A2e\A2f\A2g\A2h 7 \A2h\A2g\A2f\A2e\A2d\A2c\A2b" connection-state=new disabled=no dst-port=21,22,23,8291 protocol=\
    tcp src-address-list=!Lan_ip

/ip firewall address-list
add address=172.16.0.0/12 disabled=no list=Lan_ip
add address=192.168.0.0/16 disabled=no list=Lan_ip
add address=10.0.0.0/8 disabled=no list=Lan_ip

【收藏本页】 【返回顶部】 【关闭窗口】