Блокировка IP-адресов которые стучатся на Mikrotik

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Аватара пользователя
Andrey.Skachkov
Сообщения: 6
Зарегистрирован: 09 июл 2020, 11:17

Всех приветствую, имеется железка Mikrotik CCR1016-12G r.2.
Первоначально когда настраивался конфиг, специально сделали что к winbox можно подключиться только из локальной сети. В течении полгода было всего несколько попыток подключиться, а в последней месяц началось...
За сутки может быть от 100 до 200 попыток подключения.
Может есть какой скрипт чтобы, например, IP=XXX.XXX.XXX.XXX при попытке подключения в течении 3 раз добавлялся в чёрный список или как то вручную можно создать правило?
p.s. на скрине видно что именно пытаются подключиться несколько раз, а не случайно
Изображение


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

Если есть неудачные попытки, значит:
- в фаерволе подключения из интернета разрешены?
- в IP/Services поле Available From для www и winbox не заполнено?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Andrey.Skachkov писал(а): 09 июл 2020, 11:28 Первоначально когда настраивался конфиг, специально сделали что к winbox можно подключиться только из локальной сети. В течении полгода было всего несколько попыток подключиться, а в последней месяц началось...
Правильно ли я Вас понимаю, что потом, - Вы разрешили винбокс наружу?

Ну и в целом в рамках Вашего вопроса:
Я сделал (давно) так:
а) сети городские (всех наших провайдеров) описал в отдельный лист, и с него
можно подключиться.
б) потом есть лист доверенных, туда можно временно-динамично кого-то прописать,
чтобы зайти могли с любой точки мира
в) остальным = доступ закрыт.
Это всё делается файрволом.

В Вашем случаи я бы пока вернул наверно режим только - локальной сети.

На счёт скриптов - тут подсказать не могу, стандартный файрвол может
помещать атакующих сразу в адрес-лист и потом естественно, уже
при последующих запросов с этих же адресов = сразу будет отказ.
(опять же - это всё делается файрволом (правилами))



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Andrey.Skachkov
Сообщения: 6
Зарегистрирован: 09 июл 2020, 11:17

Erik_U писал(а): 09 июл 2020, 11:36 Если есть неудачные попытки, значит:
- в фаерволе подключения из интернета разрешены?
- в IP/Services поле Available From для www и winbox не заполнено?
- да, разрешены, но с ограничениями
- IP/Services поле Available From
для winbox 192.168.0.0/16
для www не заполнено (но изменён порт на отличный от 80го)


Аватара пользователя
Andrey.Skachkov
Сообщения: 6
Зарегистрирован: 09 июл 2020, 11:17

Vlad-2 писал(а): 09 июл 2020, 11:59
Andrey.Skachkov писал(а): 09 июл 2020, 11:28 Первоначально когда настраивался конфиг, специально сделали что к winbox можно подключиться только из локальной сети. В течении полгода было всего несколько попыток подключиться, а в последней месяц началось...
Правильно ли я Вас понимаю, что потом, - Вы разрешили винбокс наружу?

Ну и в целом в рамках Вашего вопроса:
Я сделал (давно) так:
а) сети городские (всех наших провайдеров) описал в отдельный лист, и с него
можно подключиться.
б) потом есть лист доверенных, туда можно временно-динамично кого-то прописать,
чтобы зайти могли с любой точки мира
в) остальным = доступ закрыт.
Это всё делается файрволом.

В Вашем случаи я бы пока вернул наверно режим только - локальной сети.

На счёт скриптов - тут подсказать не могу, стандартный файрвол может
помещать атакующих сразу в адрес-лист и потом естественно, уже
при последующих запросов с этих же адресов = сразу будет отказ.
(опять же - это всё делается файрволом (правилами))
Winbox доступен только в локальной сети 192.168.0.0/16
Можете подсказать как в Firewall помещать атакующий в address-list и потом при повторных попытках с этих адресов = сразу в Black-List?


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

Andrey.Skachkov писал(а): 09 июл 2020, 12:34
Erik_U писал(а): 09 июл 2020, 11:36 Если есть неудачные попытки, значит:
- в фаерволе подключения из интернета разрешены?
- в IP/Services поле Available From для www и winbox не заполнено?
- да, разрешены, но с ограничениями
- IP/Services поле Available From
для winbox 192.168.0.0/16
для www не заполнено (но изменён порт на отличный от 80го)
1. Обычно в фаерволе такая конструкция. Разрешается ворвард из интернета на конкретные хосты, но это не микротик. Потом разрешается вход на микротик на конкретные порты, но это не www и winbox. Потом разрешается натированный выход и ответ на запросы из натированной сети. А потом запрещается все остальное. И форвард, и инпут и оутпут.
Если у вас фаервол разрешает инпут на порты www и winbox, а вам этого не нужно, исправьте это. Уберите разрешение. Или добавьте запрещение входа на порты www и winbox из внешних сетей, и поднимите это правило повыше в списке.
Я советую сделать запрет входа на порты www и winbox отовсюду (и снаружи и изнутри), кроме одного адрес-листа. А в этот адрес-лист добавьте локальную сеть, и выделенные внешние IP, с которых хотите иметь доступ.
Зачем создавать сложную конструкцию с добавлением в адрес-лист для того, чтобы тот же фаервол отработал запрет по адреслисту, если можно настроить его работу проще и надежней?
2. Заполните для www. Зачем вам поднятый сервис на интерфейсе, который вы хотите исключить?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) Erik_U прав, я выскажу кратко: если сервис не нужен на внешнем адресе,
надо явно значит запретить. В линуксе местами было проще, в некоторых
хорошо развитых сервисах явно можно было указать на каком интерфейсе
работать. Поэтому ограничьте или запретите снаружи всё лишнее

2) не совсем понимаю зачем Вам на CCR'е порт 80 ???

3) Вы просили, привожу (как пример) правила, как я отсекаю на роутере заходы по 53 порту,
а если такое обращение было, адрес помещает в адрес-лист и в течении суток, этому адресу
вообще на роутер потом нельзя обратиться. На роутере сразу несколько внешних адресов,
для удобства они объединены в один интерфейс-лист (list1-WANs-iface)
а) сначала идёт проверка адреса из списка и если есть, то пакет дропается.
б) потом идёт правила jump для анализа порта (в примере - ДНС, порт- 53).
в) потом идёт сбор адресов в адрес-лист (в один) (помечаем айпи на 24 часа).
г) дропаем текущие запросы.
Так как я люблю (и для красоты) разделять TCP и UDP, все правила у меня по два идут.
(но адрес лист один, и первое правило тоже одно).

Простенько, зато эффективно. Правила со временем переместил в таблицу RAW - данные
по этим правилам не нужны мне, поэтому такие запросы не будут попадать в Connection
таблицу, а значит экономим ресурсы роутера (но учтите, она (таблица RAW) раньше отрабатывается).

Код: Выделить всё

/ip firewall raw
add action=drop chain=prerouting comment="Droping IP (from Attack list) who attacked us in the last 24 hours" src-address-list=Attacks-from-WANs
add action=jump chain=prerouting comment="Analysis 53 TCP-ports (DNS)" dst-port=53 in-interface-list=list1-WANs-iface jump-target=DNS_DROP_TCP_RAW protocol=tcp
add action=jump chain=prerouting comment="Analysis 53 UDP-ports (DNS)" dst-port=53 in-interface-list=list1-WANs-iface jump-target=DNS_DROP_UDP_RAW protocol=udp
add action=add-src-to-address-list address-list=Attacks-from-WANs address-list-timeout=1d chain=DNS_DROP_TCP_RAW comment="Creation AddList of IP addresses of attackers"
add action=add-src-to-address-list address-list=Attacks-from-WANs address-list-timeout=1d chain=DNS_DROP_UDP_RAW comment="Creation AddList of IP addresses of attackers"
add action=drop chain=DNS_DROP_TCP_RAW comment="Drop TCP-packages who attacked us"
add action=drop chain=DNS_DROP_UDP_RAW comment="Drop TCP-packages who attacked us"



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Andrey.Skachkov
Сообщения: 6
Зарегистрирован: 09 июл 2020, 11:17

Всем спасибо за ответы, Vlad_2, буду пробовать ваш вариант по коду что вы представили, если вдруг возникнут вопросы, поможете? :-):
По поводу 80го порта нужен) сказали сделать для сервера, я сделал


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Andrey.Skachkov писал(а): 09 июл 2020, 14:32 Всем спасибо за ответы, Vlad_2, буду пробовать ваш вариант по коду что вы представили, если вдруг возникнут вопросы, поможете? :-):
Да я вроде итак расписал всё подробно, и расписал, и выложил правила + с комментариями.
Их скопировать и вставить, поменяв порт 53 на нужный, ну и поправить адрес-лист интерфейсов.
Уж в 4-6 правилах думаю можно разобраться.
(и помогу конечно, но администрируя микротик, не понимать правила....??)
Andrey.Skachkov писал(а): 09 июл 2020, 14:32 По поводу 80го порта нужен) сказали сделать для сервера, я сделал
СТОП, если Вам нужен 80 порт и делать проброс на внутренний веб-сервер, это одно,
а если 80 порт самого микротика - это другое. Если веб-служба микротика не используется,
то проще её и не использовать, поэтому на самом микротике отключите www службу и всё.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Andrey.Skachkov
Сообщения: 6
Зарегистрирован: 09 июл 2020, 11:17

Vlad-2 писал(а): 09 июл 2020, 14:55
Andrey.Skachkov писал(а): 09 июл 2020, 14:32 Всем спасибо за ответы, Vlad_2, буду пробовать ваш вариант по коду что вы представили, если вдруг возникнут вопросы, поможете? :-):
Да я вроде итак расписал всё подробно, и расписал, и выложил правила + с комментариями.
Их скопировать и вставить, поменяв порт 53 на нужный, ну и поправить адрес-лист интерфейсов.
Уж в 4-6 правилах думаю можно разобраться.
(и помогу конечно, но администрируя микротик, не понимать правила....??)
Andrey.Skachkov писал(а): 09 июл 2020, 14:32 По поводу 80го порта нужен) сказали сделать для сервера, я сделал
СТОП, если Вам нужен 80 порт и делать проброс на внутренний веб-сервер, это одно,
а если 80 порт самого микротика - это другое. Если веб-служба микротика не используется,
то проще её и не использовать, поэтому на самом микротике отключите www службу и всё.
Да, проброс на внутренний сервер.
По службе www на Mikrotik, я подумал отключу её, пользуюсь я ей очень редко.
А правило я таки сделаю, спасибо ещё раз за подробное описание :-):


Ответить