Конвертация iptables в routerOS

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
free2
Сообщения: 1
Зарегистрирован: 21 ноя 2017, 00:11

Здравствуйте. Знаю несколько крутых правил для защиты от одиночных DOS атак, это, конечно, не от ботнета.
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT

-A INPUT -p icmp -f -j DROP
-A INPUT -p tcp -m conntrack --ctstate INVALID,NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --syn --dport 81 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset

-A INPUT -p tcp -m tcp --dport 81 -m hashlimit --hashlimit 50/sec --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
-A INPUT -p tcp -m multiport --dports 81 -m length --length 500:65535 -m recent --name packets --set
-A INPUT -p tcp -m multiport --dports 81 -m length --length 500:65535 -m recent --name packets --update --seconds 1 --hitcount 100 -j REJECT
-A INPUT -p tcp -m multiport --dports 81 -m length --length SIZE -m recent --name packet1 --set
-A INPUT -p tcp -m multiport --dports 81 -m length --length SIZE -m recent --name packet1 --update --seconds 15 --hitcount 3 -j REJECT

Как же их можно загнать в Firewall от RouterOS?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Сесть и почитать документацию и на iptables и на фаервол RouterOs. Вы привели просто набор правил, скорее всего скопированный из какого-то мануала для Unix. Тут не раз говорилось, что бездумный копипаст ни к чему хорошему не приведет. Нужно понимание, как работает фаервол в целом и отдельные его правила в частности.
Тем паче, что несмотря на то, что routeros имеет в своей основе линуксовское ядро, всё же фаервол микротика не является полным аналогом iptables. Ну например, правила:

Код: Выделить всё

-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

в микротике излишни, они вшиты в оболочку и являются политикой по умолчанию. А вот это

Код: Выделить всё

-A INPUT -p tcp -m tcp --dport 81 -m hashlimit --hashlimit 50/sec --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT

в точности воспроизвести я затруднюсь сходу, потому как не очень хорошо представляю, какие функции выполняет этот модуль. Можно конечно залезть в доки и посмотреть, но не проще ли изучить доки на фаервол Routeros и не пытаться скрестить ужа с ежом?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить