classic.ISPforum.cz

Ahoj,

pokouším se nastavit firewall MK 3011 proti scanu portů.
Našel jsem nastavení na https://wiki.mikrotik.com/wiki/Drop_port_scanners

Mám dvě otázky:
1. Nevím kam s těmi pravidly - kam v celkovém stromu pravidel
2. Je použit Adress list s pojmenováním "port scanners" - je nutné jej napřed ručně vytvořit? A pokud ano, jaké se má vyplnit adresa?

ad.1 - Na začátku filtru mám established , related, následně povolené tři porty pro komunikaci z venku
Dál je filtrace pro přihlášení do Sony PSN účtu jen z konzole
Vše ven povoleno

Dále blokace DDos a Botnetu z venku a nakonec vše zahozeno.
Snad je to k pochopení

ad.2 - mám za to že se do toho adress listu budou odchycené IP zapisovat a blokovat. Testoval jsem z venku scan z nějaké stránky, ale nic se neodchytlo.

Díky za případné rady

Doporucim hledani zde a prostudovat tohle.

Máš-li postaven firewall tak jak říkáš, tak je nějaká detekce portscanu tak nějak k ničemu - nechtěný provoz je blokován tak jako tak.

Ale jinak tu MK pravidla musíš dát za established, related a před konečný drop. A pokud mají tvá explicitní povolení fungovat vždy, tak až za ně. V podstatě tedy skoro nakonec před ten DROP ALL.

Poslední řádek z toho návodu bych pak nedával do filter/input, ale do raw/prerouting. Když už ten router zatížíš nějakou detekcí, tak tohle alespoň mu něco zase ušetří.

address-list se vytvoří sám, až k tomu bude důvod.

Děkuji Vám oběma.

Ještě mám jednu věc.
Dneska jsem koukal do Logu a mám pokusy pro připojení z venku na Winbox Dude. Winbox mám povolen jen z lokálu. Ale chtěl bych útočníky dávat do nějakého adress listu a kompletně banovat.
Může někdo poradit, jak na to?

Beny44 píše:Ještě mám jednu věc.
Dneska jsem koukal do Logu a mám pokusy pro připojení z venku na Winbox Dude. Winbox mám povolen jen z lokálu. Ale chtěl bych útočníky dávat do nějakého adress listu a kompletně banovat.
Může někdo poradit, jak na to?

Winbox dude.jpg

IP services a nastavit jiný port na Winbox a bude klid, rovněž nastavit z jakých IP adres se dá hlásit do routeru. Rovněž nastavit v useres, které IP jsou akceptovány.

Změna portu na winbox nebo /ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface="wan" action=drop

Nejlépe do firewallu drop na input všechno a udělat si jenom vyjímky.

Mám winbox jen z lokálu a povolenou jen jednu ip. Ještě jsem nastavil users jen z lokální IP. To by mohlo stačit. Z venku je to blokovaný, to snad ta modrá barva v logu označuje, že je to drop.

Petr Bačina píše:Změna portu na winbox nebo /ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface="wan" action=drop

Nejlépe do firewallu drop na input všechno a udělat si jenom vyjímky.

Jo jo takto to mám, jen jsem chtěl logovat do adress listu ty IP co se snaží a banovat je.

Na to se vykašli, protože těch adres jsou desítky tisíc a akorát si tím budeš zasírat address list a k ničemu ti to nebude. Jeden čas jsem měl nastaveno, že se měla adresa uložit na 24 hodin a během několika hodin tam bylo tolik adres, že jenom listování byl pro RBčko problém. Nahoď DROP a nech ho pracovat. Ty pokusy se postupně zpomalí. Jakmile tam necháš jenom omezení na IP v services, tak to budou zkoušet pořád, protože jim odpoví živé zařízení. DROP jim neodpoví a tak to dál zkoušet nebudou.