@shark136666

Как отбиться от нежелателей, микротик?

Добрый день, не так давно поменял главный роутер на микротик, нужен совет:
У нас есть ip атс и на неё постоянно долбятся перебирая пароли какие-то нежелательные личности по порту 5060 и 5073(порты атс). Для начала я указал правило nat что по портам 5060 и 5073 пускать только с определенного ip(провайдера) но это не помогло, теперь же хочу файрволом тупо не давать им доступ.
пишу правило input - входящий интерфейс- с подсети 85.40.4.0 всё дропать, не важно к какому порту обращаются.
Так они всеравно простукиваются, нужен дельный совет)
59e98406bf1c1536531053.png
  • Вопрос задан
  • 575 просмотров
Решения вопроса 1
@Gansterito
Как уже написали выше, правило нужно добавлять в цепочку forward, т.к. входящий трафик предназначен не самому Микротику (цепочка input), а проходит через него (цепочка forward). По этой же причине на приведенном скриншоте нулевой канутер (последние два столбца).
И как опять уже написали выше, правила в цепочках input и forward нужно строить так, чтобы вначале были разрешающие правила (разрешен удаленный доступ извне, разрешен ICMP echo request, ответы на уже установленные сессии - connection state = ESTABLISHED и RELATED, проброс портов) и последним - запретить всё.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
Можно маркировать в прероутинге "хорошие" соединения, а в фильтре пропускать с маркой, можно просто в фильтре пропускать с IP провайдера, все остальное по этим портам валить
Ответ написан
@SuNbka
Я устал ничего не понимать.
Лучший вариант: настроить mikrotik по принципу запрещено всё что не разрешено.
Или можно:
Написать правило блокирующее при N неудачных попытках подключится

add action=drop chain=input comment="drop" dst-address-list=block
add action=drop chain=forward comment="drop" dst-address-list=block \\ Рекомендация Виктор Бельский

add action=jump chain=input jump-target=alarm port=5060,5073 protocol=tcp
add action=add-src-to-address-list address-list-timeout=1m chain=alarm connection-state=new protocol=tcp src-address-list=block-stage-1
add action=add-src-to-address-list address-list=block-stage-2 address-list-timeout=1m chain=alarm connection-state=new protocol=tcp src-address-list=block-stage-1
add action=add-src-to-address-list address-list=block address-list-timeout=1d chain=alarm connection-state=new protocol=tcp src-address-list=block-stage-2

add action=jump chain=input jump-target=alarm port=5060,5073 protocol=udp
add action=add-src-to-address-list address-list-timeout=1m chain=alarm connection-state=new protocol=udp src-address-list=block-stage-1
add action=add-src-to-address-list address-list=block-stage-2 address-list-timeout=1m chain=alarm connection-state=new protocol=udp src-address-list=block-stage-1
add action=add-src-to-address-list address-list=block address-list-timeout=1d chain=alarm connection-state=new protocol=udp src-address-list=block-stage-2
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы