Как отбиться от нежелателей, микротик?

Question

[shark136666]

Добрый день, не так давно поменял главный роутер на микротик, нужен совет:
У нас есть ip атс и на неё постоянно долбятся перебирая пароли какие-то нежелательные личности по порту 5060 и 5073(порты атс). Для начала я указал правило nat что по портам 5060 и 5073 пускать только с определенного ip(провайдера) но это не помогло, теперь же хочу файрволом тупо не давать им доступ.
пишу правило input - входящий интерфейс- с подсети 85.40.4.0 всё дропать, не важно к какому порту обращаются.
Так они всеравно простукиваются, нужен дельный совет)

Comments

[Ульрих]

Пароли обязательно подберут. Был уже такой случай в моей практике. Нежелательно 5060 порт наружу выставлять. Либо давайте доступ только с определенных внешних ip, либо только с VPN

Answer 1

[Gansterito]

Как уже написали выше, правило нужно добавлять в цепочку forward, т.к. входящий трафик предназначен не самому Микротику (цепочка input), а проходит через него (цепочка forward). По этой же причине на приведенном скриншоте нулевой канутер (последние два столбца).
И как опять уже написали выше, правила в цепочках input и forward нужно строить так, чтобы вначале были разрешающие правила (разрешен удаленный доступ извне, разрешен ICMP echo request, ответы на уже установленные сессии - connection state = ESTABLISHED и RELATED, проброс портов) и последним - запретить всё.

Answer 2

[CityCat4]

Можно маркировать в прероутинге "хорошие" соединения, а в фильтре пропускать с маркой, можно просто в фильтре пропускать с IP провайдера, все остальное по этим портам валить

Answer 3

[Виктор Бельский]

Вам бы не только input, но ещё и forward заблокировать.

Answer 4

[Сергей]

Лучший вариант: настроить mikrotik по принципу запрещено всё что не разрешено.
Или можно:

Написать правило блокирующее при N неудачных попытках подключится

add action=drop chain=input comment="drop" dst-address-list=block
add action=drop chain=forward comment="drop" dst-address-list=block \\ Рекомендация Виктор Бельский

add action=jump chain=input jump-target=alarm port=5060,5073 protocol=tcp
add action=add-src-to-address-list address-list-timeout=1m chain=alarm connection-state=new protocol=tcp src-address-list=block-stage-1
add action=add-src-to-address-list address-list=block-stage-2 address-list-timeout=1m chain=alarm connection-state=new protocol=tcp src-address-list=block-stage-1
add action=add-src-to-address-list address-list=block address-list-timeout=1d chain=alarm connection-state=new protocol=tcp src-address-list=block-stage-2

add action=jump chain=input jump-target=alarm port=5060,5073 protocol=udp
add action=add-src-to-address-list address-list-timeout=1m chain=alarm connection-state=new protocol=udp src-address-list=block-stage-1
add action=add-src-to-address-list address-list=block-stage-2 address-list-timeout=1m chain=alarm connection-state=new protocol=udp src-address-list=block-stage-1
add action=add-src-to-address-list address-list=block address-list-timeout=1d chain=alarm connection-state=new protocol=udp src-address-list=block-stage-2