грозит какая то опасность в плане взлома локальной сети/компа/смартфона после проброса портов?Только в случае серьёзной уязвимости в программе, которая слушает эти порты, т.е. в данном случае EiskaltDC++.
Стоит ли отключать проброс портов после того как скачаю то что мне нужно?Если есть опасения, то достаточно закрыть программу, убедиться, что она не осталась работать в фоновом режиме. Когда на порту не висит никакая программа, нет никакой разницы - проброшен порт наружу или не проброшен.
почему моя настройка неправильна и не соответствует тз ?Потому что в первом правиле вы разрешаете NEW, независимо от портов, так что второе и третье правила становятся бесполезны, и без них уже открыты все порты. Уберите NEW в первом правиле.
а также позволял устанавливать исходящие соединенияА в последнем правиле лучше бы вообще убрать -m conntrack --ctstate NEW,ESTABLISHED,RELATED.
Ip блокнул через штатный firewall, порт тоже открыт только для локальной сети.Таким образом атаку на сервис вы исключили. Остаётся атака на канал. От DDoS на канал в принципе невозможно защититься локально, для этого пользуются услугами (платными) компаний с офигенно большой пропускной способностью. В лёгких случаях можно попросить родного провайдера (наверное, тоже не бесплатно). Но мне здесь видится другое:
Порядка 500 в секунду.даже при блокировании все эти 500 событий в секунду пишутся в лог. Как вы думаете, запись в лог отнимает ресурсы сервера? У вас сервер только и занят этим процессом записи в лог.
Как бороться с подобным?У вас Windows Server, как говорят в народе, выставлен голой задницей в интернет? Такие вещи нужно блокировать на внешнем (по отношению к серверу) firewall'е. Даже роутер-мыльница лучше, чем совсем ничего, вот там и надо блокировать трафик, чтобы на сервере этих событий вообще не было.
1024-65535/TCP/UDPНе надо фильтровать по номерам исходящих портов (Client Port). Вернее, такого рода фильтрация требуется в очень редких случаях и при полном понимании, что именно она требуется; у вас не такой случай. Фильтруйте только входящие пакеты по номерам входящих портов (Server Port).
на каком-то аппаратном уровне (ниже уровня веб-сервера)Ниже L3 (третьего уровня в модели OSI) только L2 может увидеть ваш провайдер (да и то не при любом способе подключения), и L2 не спалит вас перед вероятным противником, даже если бы тот видел L2 (к вопросу о бессмысленности затирания MAC-адресов на скриншотах).
И да, вы употребили термин «Кванмён»… дело в том, что на Севере это слово практически не используется на практике. Северный кореец при упоминании «Яркого Света» скорее всего даже не поймёт, о чём идёт речь. Основной интранет КНДР именуют «Национальная компьютерная сеть», длинным составным словом. Чаще говорят просто «компьютерная сеть».
может ли США уже со своей стороны блокировать доступ с адресов российского пула?Тогда мы сможем ходить к ним условно через китайский VPN как бы с китайских адресов, ну или им придётся сразу блокировать и Китай, и Венесуэлу, Индию, Армению, Казахстан, Кубу,.. плюс договариваться со всеми остальными, кого не будет в этом списке, чтобы они тоже блокировали весь список стран, поддерживающих Россию.
как это обойти?При полной изоляции (и если она будет реализована грамотно, без ошибок) никак. Но считаю, что вероятность такого сценария пока ещё мала (в ближайший год 1%). Мелкие пакости - да, будут, и уже сейчас есть.
iptables -A INPUT -p udp --dport 6767 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 6767 -j REDIRECT --to-port 67/ip firewall filter add action=accept chain=input dst-port=6767 protocol=udp
/ip firewall nat add action=redirect chain=dstnat dst-port=6767 protocol=udp to-ports=67