Drop port scanners

Базовая функциональность RouterOS
Аватара пользователя
Chupaka
Сообщения: 1694
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 27 дек 2018, 11:04

chas99 писал(а):
27 дек 2018, 10:43
Что-то я запутался, подскажите, плиз, а как из forward переделать в input ?
Не переделать, а оставить. Нет DST-NAT - пакет уйдёт в input.
chas99 писал(а):
27 дек 2018, 10:43
а можете поделиться как вы делаете проброс порта с блокировкой "левых" ?
Никак, у меня такой необходимости нет. Я лишь говорю, что добавить accept-правило в NAT для block_rdp - и из всех правил можно убрать этот параметр, что сделает конфиг чище. Чем меньше дополнительных параметров - тем сложнее запутаться в них :)

chas99
Сообщения: 92
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 27 дек 2018, 11:14

так ?
в самом начале списка NAT
chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""

Аватара пользователя
Chupaka
Сообщения: 1694
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 27 дек 2018, 11:29

Да я бы уже все протоколы accept'ил от этих злодеев. Зачем только tcp? :)

chas99
Сообщения: 92
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 27 дек 2018, 11:41

а в Filter Rules, в самый верх добавить
chain=input action=drop protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""

chas99
Сообщения: 92
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 27 дек 2018, 11:52

итого в NAT добавить эти правила, первое будет пакеты от "block_rdp" отправлять в input Filter Rules для дальнейшей блокировки, а второе будет заносить адреса в "block_rdp" тех кто будет подпадать под PSD

chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
chain=dstnat action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=block_rdp address-list-timeout=10m in-interface=interne>
dst-port="" log=no log-prefix=""

Аватара пользователя
Chupaka
Сообщения: 1694
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 27 дек 2018, 13:28

Ну, строго говоря, оно не будет отправлять, пакеты сами туда попадут, т.к. идут на адрес роутера - и их никто не перенаправляет.

Ну и я бы правила NAT добавил в обратном порядке, чтобы если второе правило "нашло" хулигана - первое бы тут же сработало на него, не дожидаясь следующего соединения.

chas99
Сообщения: 92
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 27 дек 2018, 15:26

Спасибо!

chas99
Сообщения: 92
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 28 дек 2018, 03:14

Chupaka писал(а):
27 дек 2018, 13:28
Ну и я бы правила NAT добавил в обратном порядке, чтобы если второе правило "нашло" хулигана - первое бы тут же сработало на него, не дожидаясь следующего соединения.
я тут подумал :oops:
насчет порядка правил... если Accept будет вторым правилом (как предлагаете вы), и если хулиган будет сканировать, то первое правило всегда будет в работе и занимать ресурсы роутера (или не обращать на это внимание?)..

Аватара пользователя
Chupaka
Сообщения: 1694
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 28 дек 2018, 12:35

Если PSD будет занимать хоть сколь-нибудь значительное количество ресурсов - есть мнение, что тогда непосредственно само сканирование будет наименьшим из имеющихся зол :)

Ответить