Как закрыться от быстро прилетающих пакетов на порт?

[Dvedev]

Добрый день.
Тестирую свой сервер и ни как не могу закрыться от часто прилетающих пакетов на определенный порт.
Читал уже статейки про правила:
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=block-ddos
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop
add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return
add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m
оно у меня есть, но оно пропускает!
Собственно вот что настроено в фаерволе:
https://ibb.co/rH4Gm6m
Подскажите пож как можно закрыть определенные порты от количества поступаемых в секунду пакетов?

[Dvedev]

это правило:
/ip firewall filter add chain=input protocol=tcp dst-port=80 connection-limit=200,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d
/ip firewall filter add chain=input src-address-list=blocked-addr action=drop
то же пропускает

[Chupaka]

Приветствую. Вы конкретнее сформулируйте, что в вашем понимании "часто". Правило "dst-limit=50,50,src-and-dst-addresses/10s" разрешает, вроде, 50 пакетов в секунду для каждой пары "отправитель-получатель" - это часто или не часто? Тем более, что оно, по факту, считает новые соединения, а не все пакеты соединений. И оно у вас в цепочке forward (т.е. для пакетов от клиентов в Интернет или обратно) - смущает, что следом вы приводите в пример цепочку input (т.е. трафик к самому роутеру, а не сквозь него, как в первом случае).

З.Ы. Скриншот окна с правилами файрвола, как правило, бесполезен - на нём нет много чего, что на самом деле может быть включено. Только /export, только хардкор!

[Dvedev]

Ну грубо говоря у меня есть приложение которое слушает определенный порт и вот по этому порту начинают слать оооочень много пакетов в короткий промежуток времени. Причем, я так понимаю, микротик это не как новое подключение, а как уже сущетсвующее подключение обрабатывает и поэтому не блочит. Во что пишет микротик: https://ibb.co/PzV9nSG
И эти кб превращаются потом в мегабайты и.т.д, пока я не выключу атаку)
С какой скоростью посылает пакеты? - около 50к в 10-15 секунд.
При этом на сервере резко возрастает нагрузка на сетевую карту.

[Dvedev]

Какие именно пакеты тяжело сказать. Точно по TCP. Наверное туда и обратно ходят. Ведь у меня стоит сервер авторизации. Поставил форвард и себя заблочил.

[Chupaka]

Т.е. вы подозреваете какую-то DoS-атаку? Есть какой-то "нормальный" объём трафика по одному соединению? Если это сервер авторизации - то соединения вполне могут быть короткоживущими. Тогда можно по превышении объёма данных (параметр connection-bytes) добавлять IP-адрес источника в блок-лист.

[Dvedev]

вот и я про то)
а не могли бы написать правило для терминала? боюсь опять перекрыть внутренний трафик и заблочить самого себя)

[Chupaka]

Начните с правила типа такого (connection-bytes под себя отрегулируйте)

Код: Выделить всё

/ip firewall filter add chain=forward protocol=tcp dst-port=7777 connection-bytes=100000-0 \
    action=add-src-to-address-list address-list=HUGE_7777_CONNECTIONS

И посмотрите, что в этот адрес-лист будет попадать. Если за пару часов работы легитимных клиентов ничего криминального - блокируйте этот адрес-лист ещё одним правилом.

[Dvedev]

АААА!!!!)) моему счастью нет предела)))
Поймал: https://ibb.co/TH8ckB8
Ура!
Огромное вам спасибо!