L2tp+ipsec-Firewall

Здравствуйте уважаемые гуру , у меня возник вопрос , после поднятия L2tp(server)+ipsec в микротик начинают стучать боты
500 port udp в лог микротика начинают приходить логи ( ipsec,error ip parsing packet failed,possible cause :wrong password ) что свидетельствует о подборе пароля ipsec
Подскажите пожалуйста как можно в firewall создать правило для добавления src adress lis таких товарищей
чтоб именно оно было к ipsec авторизации

наподобии как защита от L2tp перебора
add action=add-dst-to-address-list address-list=vpn_blacklist_l2 address-list-timeout=1m chain=output content="M=bad" dst-address-list=vpn_blacklist_l1
тут мы валавливаем пакет M=bad

acces list не вариант , лог вайшарка скинуть могу без проблем , только вот до сих пор осталость загадкой для меня как отловить момент не правильной авторизации ) чтоб спать спокойно в Linux iptables
ipsec зашишают путем hash limit

 

Илья а возможен ли такой вариант в микротики есть скриптинг
написать скрипт каторый будет каждые 10-15 секунд анализировать Лог файл на придмет сообшения ipsec,error xxx.xxx.xxx.xxx(ip)
брать данный ip и добавлять ip>firewall adress list а в самом firewall соотсветственно готовое пправило стоит что такой лист reject
Я просто в скриптинг сильно не залазил на Router OS я понимаю что микротик не linux ) и за такие его бюджетные цены он имеет на борту замечательный универсальный функционал каторый в свзяки с linux добавляет друг друга )
ну скажу одно познав iptables микратик firewall как графический интерфейс его ) всё чётко и понятно ) если открывать какой нить сервис на ружу то только с умом

Можно конечно поднять на linux rsyslog server и с микротики отправлять лог туда потом скриптиком выделять нужную фразу и ип и отправлять через api или ssh назад ) но вот хочу без помощи linux сделать так как не любитель я костылей )

 

Да можно "парсить" лог, и выполнять скрипты. Такие возможности точно есть.

 

Думаю, надо написать скрипт на подобии "отлавливателя" адресов соц. сетей

Код:

:foreach i in=[/ip dns cache all find where (name~"facebook" || name~"ok" || name~"odnokl" ||  name~"instagram.com" || name~"myspace" || name~"myspace.com" || name~"my.mail" || name~"vkrugudruzei" || name~"mirtesen" || name~"torrent" || name~"tracker") && (type="A") ] do={
:local tmpAddress [/ip dns cache get $i address];
delay delay-time=10ms
#prevent script from using all cpu time
:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
:local cacheName [/ip dns cache get $i name] ;
:log info ("added entry: $cacheName $tmpAddress");
/ip firewall address-list add address=$tmpAddress list=blockSS comment=$cacheName;
}
}

Только чтоб он парсил лог и добавлял ip в чёрный список.
Готового скрипта у меня нет, но где-то встречал нечто подобное на просторах сети. Постараюсь найти

 

Мне кажется, вот http://mikrotik.axiom-pro.ru/forum/...елей-подбирать-пароли-hotspot-wifi/#entry1145
Отсюда можно получить искомое

 

Спасибо большое за направление , я уже нащёл искуемую переменную вывода , а вот как с интерпретатора только ip адресс оставить пока не ясно
/log print where message~"parsing"
Выводит ipsec,error 192.168.XXX.XXX parsing packet failed, possible cause: wrong password

 

Добрый день!
Получилось у вас со скриптом, не могли бы скинуть его сюда готовый?
Благодарю!