Защита порта от брутфорса (как создать WhiteList)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
darkichse
Сообщения: 2
Зарегистрирован: 28 сен 2020, 12:20

Приветствую.
RB750GR 6.47.2

Стоит задача защитить от перебора ресурсы находящиеся за микротиком. В конкретном примере проброшен RDP (3389) через NAT (dstnat)
Нашел в интернет пример фильтров

Код: Выделить всё

/ip firewall filter
add action=jump chain=forward connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=tcp
add action=jump chain=forward connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=udp


/ip firewall filter add action=drop chain=forward comment=Drop-Bruteforcers connection-state=new src-address-list=bruteforcer


/ip firewall filter 
add action=add-src-to-address-list address-list=bruteforcer address-list-timeout=10m chain=check-bruteforce \
src-address-list=bruteforce-stage-5
add action=add-src-to-address-list address-list=bruteforce-stage-5 address-list-timeout=1m chain=check-bruteforce \
src-address-list=bruteforce-stage-4
add action=add-src-to-address-list address-list=bruteforce-stage-4 address-list-timeout=1m chain=check-bruteforce \
src-address-list=bruteforce-stage-3
add action=add-src-to-address-list address-list=bruteforce-stage-3 address-list-timeout=1m chain=check-bruteforce \
src-address-list=bruteforce-stage-2
add action=add-src-to-address-list address-list=bruteforce-stage-2 address-list-timeout=1m chain=check-bruteforce \
src-address-list=bruteforce-stage-1
add action=add-src-to-address-list address-list=bruteforce-stage-1 address-list-timeout=1m chain=check-bruteforce

Всё работает, брутфорсеры отсекаются НО нужен и список доверенных ip адресов т.к. есть подразделения которые массово цепляются в терминальным серверам на которых и работают и вот эти вот дружественные адреса так же попадают с список брутфорсеров.

Вопрос: если я перед этим списком фильтров поставлю первым вот такой фильтр и создам вручную адрес WhiteList будет ли это работать корректно ?

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward connection-state=new dst-port=3389 src-address-list=WhiteList protocol=tcp
add action=accept chain=forward connection-state=new dst-port=3389 src-address-list=WhiteList protocol=udp


Изображение


C Микротиками только начинаю знакомиться, а задачи не хотят терпеть пока вникну :nez-nayu:


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Будет.

Более того, можно даже не создавать отдельные правила, а просто добавить в первые два (которые отправляют в отдельную цепочку) условие-исключение: src-address-list=!WhiteList


Telegram: @thexvo
darkichse
Сообщения: 2
Зарегистрирован: 28 сен 2020, 12:20

Спасибо!!!


Ответить