DROP rule работает, но логи завалены обращениями на порт

[aleksandr.sn]

Добрый день, есть настроенный проброс порта на rdp. Несколько раз в неделю этот порт начинают брутить, бывает реже.
Обычно либо скриптом либо руками добавляю адрес в блок лист и через firewall дропаю.
Все нормально работало, сегодня столкнулся с тем что трафик с определенного ip дропается, но вот логи все равно завалены обращениями на порт, раньше такого не было. Проверил логи rdp на сервер на который идет проброс, действительно до него трафик не доходит.
Но логи микротика заспамлены обращениями на порт. Ничего не обновлялось и не изменялось. Может я что-то упускаю. Прикладываю скрины
На скрине я даже добавил этот ip отдельный правилом, та же ситуация.

[KARaS'b]

в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.

[aleksandr.sn]

в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.

То же сначала про это подумал, но нет.

[xvo]

в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.

Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.

[aleksandr.sn]

в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.

Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.

в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста

[KARaS'b]

в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.

Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.

в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста

Примерно это я и имел ввиду, не важно где, в фильтрах, или нате, но это последствия галочки, принцип работы которой предельно просто - если пакет прошел и подпал под правило, ака увеличил его счетчик и если стоит галочка, то в лог что-то вывалится. Возможно галочку поставили не специально и раньше ее не было? Потому что если бы она была и раньше, то и в логах бы у вас постоянно было что-то, причем поскольку это правило ната, как заметил xvo, то трафик обрабатывается этим правилом еще до фаервола, т.е. даже разрешенные адреса увеличивают счетчик правила и соответсвенно даже они попадают в лог.

[xvo]

в правиле которое дропает наверняка поставили галку "log", вот оно и сыпет вам в логи каждый пакет подпадающий про это правило.

Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.

в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста

Таблица RAW, цепочка prerouting.
Но это имеет смысл, если атака действительно сильно нагружает устройство.
Если нет, то перенеся дроп "раньше" firewall'а вы тем самым заставите весь траффик проверяться этим правилом, даже established и related, который скорее всего у вас в firewall разрешается сходу, не проходя остальные правила.
Иными словами: перенося что-то в raw вы чуть-чуть увеличиваете постоянную нагрузку, но сильно снижаете нагрузку от атаки.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw

[aleksandr.sn]

Только в dst-nat правиле - оно обрабатывается раньше дропа в firewall'е.
Можно перенести дроп в prerouting.

в dst-nat правиле действительно стоит логирование, просто до сегодняшнего дня при добавление ip в блок лист, спама в логах от dst-nat не было.
Не понимаю что изменилось.
Насчет перенести дроп в prerouting можно поподробнее пожалуйста

Таблица RAW, цепочка prerouting.
Но это имеет смысл, если атака действительно сильно нагружает устройство.
Если нет, то перенеся дроп "раньше" firewall'а вы тем самым заставите весь траффик проверяться этим правилом, даже established и related, который скорее всего у вас в firewall разрешается сходу, не проходя остальные правила.
Иными словами: перенося что-то в raw вы чуть-чуть увеличиваете постоянную нагрузку, но сильно снижаете нагрузку от атаки.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw

Спасибо за разъяснение!
Галочка на логирование dst-nat порта у меня стояла всегда, когда начинался спам брутфорса в логах с одного ip, я этот ip заносил в blocklist, так вот после занесения в блоклист этот ip в логах больше не "мусорил". Вот удивлен что сейчас этого не произошло и ip продолжает мусорить.

[xvo]

Создайте правило, которое автоматом будет добавлять в лист, если с одного ip количество попыток подключений превышает порог.

[Vlad-2]

Но логи микротика заспамлены обращениями на порт. Ничего не обновлялось и не изменялось. Может я что-то упускаю. Прикладываю скрины
На скрине я даже добавил этот ip отдельный правилом, та же ситуация.

На Вашем скрине я заметил что тип записи это "disk", а должно обычно тип быть "memory"

Зайдите в System-Logging и проверьте, там как выставлены критерии и настройки вообще?
Может в них дело....может Вы как-то давно режим дебага включили?