Форум OlegON > Компьютеры и Программное обеспечение > Сеть > Сетевое оборудование > MikroTik

Миркотик. Блокировка сканирующих. Как? : MikroTik

28.03.2024 18:03


30.05.2018 18:56
KirillHome
 
Цитата:
OlegON А, я визуально только оцениваю, правило надо не в Filter пихать, а в Mangle, prerouting.
Не очень понял, а что я буду в Mangle делать с внешними обращениями (drop в action не нашёл )
30.05.2018 20:15
OlegON
 
У меня в голове каша из микротика и iptables сейчас, а консоли под рукой нет, я завтра до микротика доберусь и сделаю. На пальцах вспомнить не могу, но банил как-то без проблем.
30.05.2018 20:26
KirillHome
 
Цитата:
OlegON У меня в голове каша из микротика и iptables сейчас, а консоли под рукой нет, я завтра до микротика доберусь и сделаю. На пальцах вспомнить не могу, но банил как-то без проблем.
Не торопись.
Локально проблема решена.
Более правильное решение - хорошо, но - не горит совсем.
31.05.2018 07:13
OlegON
 
Перечитал, а зачем ты != ставил?
там играет значение порядок правил
одно должно быть в Input, чтобы защитить сам микротик, второе в forward, чтобы перекрыть проходящие пакеты, но у тебя они только из
NAT? Первым правилом надо в NAT что-то делать, например, дропать. Я сделать-то сделаю, мне только тестировать негде, у меня микротик во внутренней сети.
Сейчас пока ещё с телефона.
31.05.2018 10:32
KirillHome
 
Цитата:
OlegON Перечитал, а зачем ты != ставил?
На мой взгляд - логично.
Переправляем запросы от всех, кроме тех, что в чёрном листе

Цитата:
OlegON там играет значение порядок правил
Это я понял, когда мои правила не заработали
Цитата:
OlegON одно должно быть в Input, чтобы защитить сам микротик, второе в forward, чтобы перекрыть проходящие пакеты, но у тебя они только из
NAT? Первым правилом надо в NAT что-то делать, например, дропать. Я сделать-то сделаю, мне только тестировать негде, у меня микротик во внутренней сети.
Сейчас пока ещё с телефона.
Повторюсь - пока какого-то результата достиг.

Более "глобальные эксперименты" приходится делать осторожно, и в ночное время. А если я сдуру сам себя "зарежу" - придётся вскакивать ни свет ни заря и бежать на работу (что бы изнутри смочь всё исправить).
31.05.2018 11:45
OlegON
 
Цитата:
KirillHome На мой взгляд - логично.
Еще раз повторюсь, Микротики достаточно слабы процами, поэтому бездумно набивать их правилами нельзя. Особенно очереди жрут проц.
Соответственно, сверка каждого пакета со списком - достаточно ресурсоемкая операция. А у тебя она повторяется в каждом правиле проброса. Если у тебя за NAT какой-нибудь FTP, то можно как следует просадить процессор, особенно, когда подрастет список и канал расширится.

В общем, сделал, для начала сделал себе фиктивный NAT с порта 6789 на 8080, который у меня был среди открытых

Код:
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=192.168.10.1 dst-port=6789 protocol=tcp to-addresses=192.168.10.70 to-ports=8080
проверил с 10.10.0.2
Цитата:
telnet 192.168.10.1 6789
Trying 192.168.10.1...
Connected to 192.168.10.1.
Escape character is '^]'.
GET
HTTP/1.1 400 Bad Request
Content-Type: text/html
Connection: close
Date: Thu, 31 May 2018 08:20:23 GMT
Content-Length: 94

<HTML><HEAD>
<TITLE>400 Bad Request</TITLE>
</HEAD><BODY>
<H1>Bad Request</H1>
</BODY></HTML>
Connection closed by foreign host.
работает

Добавил 10.10.0.2 в список, на случай случайной блокировки поставил таймаут в сутки (через сутки адрес из этого списка уберется)
Код:
/ip firewall address-list
add address=10.10.0.2 list=garbage timeout=1d
Создал правило на блокировку по списку
Код:
/ip firewall filter
add action=drop chain=forward src-address-list=garbage
посмотрел, какое оно у меня
Код:
/ip firewall filter print
...
...
10    chain=forward action=drop protocol=tcp src-address-list=garbage
и сделал его первым вместо десятого (последнего)
Код:
move 10 0
Попробовал telnet, что выше - не работает. Попереключал disable 0 и enable 0, то работает, то не работает, все нормально...
В качестве варианта, опять же, при большом трафике, добавил бы в блокировщик условие с интерфейсом, еще и только connection-state=new, может... Правило INPUT можно добавить, если закрывать сам Mikrotik. У меня по умолчанию на все INPUT закрыт, открыто только то, что нужно.
31.05.2018 11:59
KirillHome
 
У меня не хватило смелости (разума?) на последний шаг
Цитата:
OlegON и сделал его первым вместо десятого (последнего)
Код:
move 10 0
Попробую.

Спасибо!
Часовой пояс GMT +3, время: 18:03.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.