ros如何禁止外网用winbox连接我更彻底一点

nori***

我的ros已经设置了

但是这个越南的傻鸟还是一直来让我denied
有什么办法不让这种越南的ip来给我造成denied winbox吗？

ser***

改端口，防火墙里加规则

nori***

stvber 发表于 2021-2-18 00:29
改端口，防火墙里加规则

你好，按照你的说法我把 ip service里面的端口修改成为其他的，现在我自己的winbox无法连接，有其他办法吗？

nori***

stvber 发表于 2021-2-18 00:29
改端口，防火墙里加规则

有了，加上冒号就行了。和ftp一样，谢谢了。
然后防火墙规则可以教我吗？我想要吧越南的ip段拉黑到无法访问我的winbox的，就是不想要在纪录里面看到他总是尝试登陆我的winbox

wan***

把从外网登陆你80和8291端口的IP加到列表中，如果连续登陆则拒绝它登陆一定的时间段（可根据需要修改长短），代码如下：
/ip firewall filter
add action=drop chain=input comment="Drop bruteforcers list" disabled=no \
    protocol=tcp src-address-list=bruteforcers
add action=add-src-to-address-list address-list=bruteforcers \
    address-list-timeout=1w chain=input comment="SSH bruteforce attempt 3" \
    connection-state=new disabled=no dst-port=80,8291 \
    protocol=tcp src-address-list=ssh_attempt_2
add action=add-src-to-address-list address-list=ssh_attempt_2 \
    address-list-timeout=1m chain=input comment="SSH bruteforce attempt 2" \
    connection-state=new disabled=no dst-port=80,8291 \
    protocol=tcp src-address-list=ssh_attempt_1
add action=add-src-to-address-list address-list=ssh_attempt_1 \
    address-list-timeout=1m chain=input comment="SSH bruteforce attempt 1" \
    connection-state=new disabled=no dst-port=80,8291 \
    protocol=tcp src-address-list=!lan

/ip firewall address-list
add address=192.168.8.0/24 disabled=no list=lan
add address=192.168.16.0/24 disabled=no list=lan

littl***

/ip firewall filter
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=drop chain=input comment="drop all from WAN" in-interface-list=WAN

nori***

wang212 发表于 2021-2-18 23:48
把从外网登陆你80和8291端口的IP加到列表中，如果连续登陆则拒绝它登陆一定的时间段（可根据需要修改长短） ...

感谢您，我用了您的方法已经看不到那个尝试登陆winbox的log了，在log没有了，比如我如果要看看是哪个国家的人一直尝试要登陆我的winbox（其实我的winbox只对内网开启）我需要到哪里去看这个非法登陆的ip？

wan***

winbox下可查看
ip->firewall -> address lists下name为bruteforcers的信息

frag***

wang212 发表于 2021-2-18 23:48
把从外网登陆你80和8291端口的IP加到列表中，如果连续登陆则拒绝它登陆一定的时间段（可根据需要修改长短） ...

感谢大佬的分享，这个策略太赞了！

me***

谢大佬的分享，这个策略太赞了！

wbb***

如果你不需要从外网访问路由器，直接把input（wan口）的8291端口禁了就行了