Глухая защита WAN интерфейса

[Denik]

Доброго времени суток.

Ситуация такая нам поступила информация что наш провайдер сканирует клиентов в поиске "шахтеров" с последущим их сливанием куда не надо и было принято решение заблокировать WAN интерфейс.

Так как я новичёк стал искать в инете статьи как защитить WAN на микротике, нашел много интересного все попробовал все получилось.

Все подмывает просто сделать одно правило типа:

add action=drop chain=input comment=Drop_all_WAN in-interface-list=WAN

Но бюсь чего то заблокировать что потом создаст кучу головной боли

Если меня не интересует удаленны доступ к моему микротику могу ли я воспользоваться этим правилом и просто закрыть WAN не переживая что там самым перекрою кислород какой то проге, игре или сервису которым сам пользуюсь?

[Chupaka]

Ну, оптимальный вариант - это дефолтные правила RouterOS Там блокируются все соединения извне, которые не разрешены либо явно, либо пробросом порта.

Ваше правило заблокирует любые пакеты из WAN (например, новые подключения или DNS-ответы, если используется DNS-сервер RouterOS). Если хотите блокировать только соединения, инициированные извне - добавьте в правило параметр "connection-state=new"

З.Ы. Кто такие шахтёры? А то я пока не понимаю, кто с чем борется...

[Denik]

Шахтеры это майнеры ))

Дефолтных нету, firewall по умолчанию пуст

За ответ спасибо! Думал об этом connection-state=new не знал стоит ли

[Chupaka]

Хм... А как активное сканирование поможет определить майнеров? Им достаточно пассивно трафик посмотреть, идёт много к известному пулу - значит, здравствуйте

[Denik]

Ну этих тонкостей не знаю, сначала грозились по потреблению света их вычислять, кажись не получилось, сейчас к провайдерам пришли чтоб они искали.
Короче на всякий закрыться надо от этого злого WAN'a, нам от него только интернет нужен, лишние глаза на то и лишние что на фиг не нужный ))

[Chupaka]

Короче на всякий закрыться надо от этого злого WAN'a, нам от него только интернет нужен

Я бы какой-нибудь VPN рассмотрел, чтобы провайдер трафика не видел