Eso es porque tienes un agujero en el firewall. Las conexiones de winbox no deberían venir nunca desde internet. Y Dude, a menos que lo uses, desinstálalo.
Te funciona porque, por defecto y a menos que lo bloquees, todo tráfico está aceptado si no hay regla de firewall que lo prohíba.
/system/default-configuration/print
Muy buenas, verás que no es difícil solo tienes que cambiar el módulo E-mail por el de Telegram en la misma posición del script y utilizar las variables que necesitas ser informado (toma como referencia otro script que utilice Telegram y te haces una idea).
# Creamos un script con el nombre: CheckFailureLoginUser
# By PhallaCCMT (phallaccmt.blogsport.com)
# Modified by @diamuxin
:local logBuffer "failedauth"
:local failthreshold 2
:local blocklist "Lst_AttemptLoginIP"
:local GTime [:pick [/system clock get time] 0 8]
:local DeviceName [/system identity get name];
# ----------------------------------------------------------------------------------------
:local attackiparray {0}
:local attackcountarray {0}
:local logEntryTopics
:local logEntryTime
:local logEntryMessage
:local clearedbuf
:local lines
:local datetime [/system clock get date]
:set clearedbuf 0
:local i 0
:foreach rule in=[/log print as-value where buffer=($logBuffer)] do={
# Now all data is collected in memory..
# Clear log buffer right away so new entries come in
:if ($clearedbuf = 0) do={
/system logging action {
:set lines [get ($logBuffer) memory-lines]
set ($logBuffer) memory-lines 1
set ($logBuffer) memory-lines $lines
}
:set clearedbuf 1
}
# End clear log buffer
:set logEntryTime ""
:set logEntryTopics ""
:set logEntryMessage ""
:set logEntryTime ($rule->"time")
:set logEntryTopics ($rule->"topics")
:set logEntryMessage ($rule->"message")
:if ($logEntryMessage~"login failure") do={
:local attackip [:pick $logEntryMessage ([:find $logEntryMessage "from "]+5) ([:find $logEntryMessage " via"])]
:local x 0
:foreach ip in=$attackiparray do={
:if ($ip = $attackip) do={
:set ($attackcountarray->$x) (($attackcountarray->$x)+1)
} else={
:set ($attackiparray->$i) $attackip
:set ($attackcountarray->$i) 1
}
:set x ($x+1)
}
}
:set i ($i+1)
# end foreach rule
}
:local z 0
:foreach ip in=$attackiparray do={
:if ($attackcountarray->$z > $failthreshold) do={
:set ($attackcountarray->$z) 0
/ip firewall address-list add address=($attackiparray->$z) list=$blocklist timeout=86400
# START Send Email
/tool e-mail send to="destinatario@gmail.com" subject="\E2\9A\A0 MikroTik alert on $datetime" body="Your Router ($DeviceName) is attempt login by: $attackiparray at $GTime. Now it has been add to block list." file="";
# END Send Email
}
:set ($attackcountarray->$z) 0
:set z ($z+1)
}# START Send Email
/tool e-mail send to="destinatario@gmail.com" subject="\E2\9A\A0 MikroTik alert on $datetime" body="Your Router ($DeviceName) is attempt login by: $attackiparray at $GTime. Now it has been add to block list." file="";
# END Send Email# START Send Telegram Module
:local MessageText "\E2\9A\A0 $DeviceName: Attempt login by: $attackiparray at $GTime. Now it has been add to block list.";
:local SendTelegramMessage [:parse [/system script get MyTGBotSendMessage source]];
$SendTelegramMessage MessageText=$MessageText;
# END Send Telegram Module
#Cabe destacar, que tengo ese dominio lo tengo añadido en:
/ip firewall address-list add address=Web_alojada_en_AWS comment=Web_alojada_en_AWS
Y el propio Mikrotik me resuelve ese dominio en varias IPs
El script seria:
#Borra las IPs actuales
/ip route/ remove [find comment="Web_alojada_en_AWS"]
#Añade las nuevas IPs
:foreach i in=[/ip firewall address-list find comment=Web_alojada_en_AWS] do={
/ip/route add dst-address=[/ip firewall address-list get $i address] gateway=Tunel_VPN comment=Web_alojada_en_AWS;
}Pues veo que sabes aprovechar los recursos del equipo, enhorabuena. Una solución muy elegante, muy parecida a la del hairpin nat para resolver la IP pública.
Muchas gracias! Si lo ves bien me fio
Hola,
/log info message="Cloud backup started";
:local ficheros;
:set ficheros [/system backup cloud print count-only];
:if ($ficheros=1) do={
/log info "Hay un fichero. Lo borro!";
/system backup cloud print
/system backup cloud remove-file 0;
}
/system backup cloud upload-file action=create-and-upload password=xxxxxxxx;
/log info message="Cloud backup finished";Gracias, Pocoyo. Pero, claro, la idea era hacer un script de backup que no dependa de si hay o no fichero. Porque si, por error o por lo que sea, borras el fichero, la ejecución del script original fallaría en sucesivas ocasiones y no te darías cuenta...hasta el día en que necesitas el backup. La versión que postee funciona pero lo veo chapuza sobretodo por el hecho de tener que hacer el "cloud print" antes que el "remove-file 0" ... que parece que debería funcionar sí o sí (mientras el fichero exista en el slot 0, que es lo que se verifica unas lineas más arriba). Pero resulta que a veces falla...aún existiendo el fichero en la nube. Parece que hay un bug que hace que routerOS "se olvide" de que tiene algo en la nube y que el "cloud print" le refresca la memoria, por así decirlo. Bueno, nada, era para contrastar si era una paranoia mía
Entiendo que esa lista tienes usuarios de tu LAN, a los que tampoco quieres permitir el acceso, no? Porque sino, la que tienes debajo, ya hace eso. Con la config por defecto, sólo tu LAN tiene acceso al chain de input del router. Y, si quieres restringirlo aún más, puedes poner que sólo una IP tenga acceso a los servicios de http y winbox.
