Есть NTP клиент\сервер, поднятый на роутере. Соответственно они доступны всем. Так-же мы имеем особенность NTP, которая позволяет отправить серверу запрос длинное 44 байта с поддельный адресом отправителя и получить ответ в несколько КБ на адрес, который даже не запрашивал этот пакет (одна из распространённый DDoS атак). Ещё одной особенность NTP является то, что как запрос так и ответ приходят всегда на порт UDP123.
Внимание вопрос (Что в чёрном ящике): Как организовать защиту нашего NTP серера, не прибегая к конкретным IP адресам публичных NTP?
Следующий вариант полностью блокирует работает NTP клиента:
Код: Выделить всё
/ip firewall filter add action=drop chain=input comment="Drop external NTP connections" disabled=yes dst-port=123 in-interface=PPPoE-ISP-OPCOM protocol=udp