Конвертация iptables в routerOS
Добавлено: 21 ноя 2017, 00:27
Здравствуйте. Знаю несколько крутых правил для защиты от одиночных DOS атак, это, конечно, не от ботнета.
Как же их можно загнать в Firewall от RouterOS?
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -f -j DROP
-A INPUT -p tcp -m conntrack --ctstate INVALID,NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --syn --dport 81 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 81 -m hashlimit --hashlimit 50/sec --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
-A INPUT -p tcp -m multiport --dports 81 -m length --length 500:65535 -m recent --name packets --set
-A INPUT -p tcp -m multiport --dports 81 -m length --length 500:65535 -m recent --name packets --update --seconds 1 --hitcount 100 -j REJECT
-A INPUT -p tcp -m multiport --dports 81 -m length --length SIZE -m recent --name packet1 --set
-A INPUT -p tcp -m multiport --dports 81 -m length --length SIZE -m recent --name packet1 --update --seconds 15 --hitcount 3 -j REJECT
Как же их можно загнать в Firewall от RouterOS?