Возможна ли блокировка по портам в микротик?

Question

[Dj0cker]

суть такая, чтобы банить кто стучится со злыми намерениями в определенные порты с разных ип адресов. Допустим белый список проходит по всем портам, черный сразу улетает с первого пинга или попытки подключения к порту в бан. Такое возможно?

Answer 1

[Виктор]

Mikrotik Fail2Ban - смотрим в гугле
P.S. но лучше настроить нормально... разрешить, что разрешено, а остальное drop. Зачем без толку есть ресурсы роутера?

Comments

[Dj0cker]

такое уже есть, но этого мало. еще вариант honeypot, -
но может еще что есть?

[Dj0cker]

я только чуть разбираться начал), нужно попробовать все варианты, а роутер грузится пока на 3-5%

[Виктор]

Dj0cker, зачем их банить? Вы можете нормально описать проблему? Просто если всех банить, то AddressList гигантским получится и его "обход" будет прилично жрать ресурсы! Просто разрешите подключение тем кому можно, а остальных дропать. А уж если сильно хочется видеть IP тех кто ломился, то создайте правило "затычку" и кидайте эти IP в адресс-лист... потом просматривайте его вручную, а не грузите бесполезной работой роутер. ИМХО

[Dj0cker]

Виктор, проблема что боты и всякая нечисть рвется в порты со сканом брутофорсом на RDP, два метода со списками, где по таймеру кол-во попыток, и от сканирования портов настроено, но этого мало. Все равно проходят подстраиваются по таймеры, начинают брутить, порты смысла менять нету. все равно находят, поставил отдельно сервак, для этих ботов, но думаю дело времени добраться до рабочего сервера.. Поэтому возникла такая идея ловить тех кто стучится на порты сервера ловушки, и собирать ип создавая черные списки, могу для этого дела даже второй поставить, или может есть железные блокировщики?

[Dj0cker]

poisons, наружу RDP, vpn и атс

[Dj0cker]

poisons, спасибо, примерно понял

[Dj0cker]

Виктор, списки через Firewall-Raw дропать тоже жрет ресурсы?

[Виктор]

Dj0cker, все жрет ресурсы. Вы не сможете собрать все IP которые Вас сканируют. Если не будете через время очищать адрес-листы, то тормоза получите гарантировано. А если их очищать, то смысл банить? Сканировать Вас будут в любом случае...это не люди делают, а программы...ботнеты. По итогу может получится, что забаните адреса настоящих пользователей.... и потом будете искать.
P.S. дело конечно Ваше, но если возможно, то уберите RDP снаружи под VPN... У меня наружу только VPN и стучаться в него не более 1-2 раз в день.

[Dj0cker]

Виктор, vpn сложно для пользователей, каждый начинает названивать и включать блондинку, я не туда нажал что то вышло.. и в том духе..

Answer 2

[nApoBo3]

Да, address-list add.

Comments

[Dj0cker]

туда же можно только айпишники забивать..

[Александр Карабанов]

Dj0cker, и имена можно тоже.

[nApoBo3]

Dj0cker, ну так вам и нужны айпишники.

Answer 3

[CityCat4]

Конечно. Микротик поддерижвает концепцию "списков", которые запросто применимы к любой операции.

Например, черный список в два адреса 1.1.1.1 и 2.2.2.2 и запрет на любой трафик с них на порт TCP/80:

/ip firewall address-list
add address=1.1.1.1 list=poshelvzhopu 
add address=2.2.2.2 list=poshelvzhopu
/ip firewall filter
add action=drop chain=input src-address-list=poshelvzhopu protocol=tcp dst-port=80
add action=drop chain=forward src-address-list=poshelvzhopu protocol=tcp dst-port=80