vovannovig Posted June 26, 2013 Posted June 26, 2013 Добрый день. Есть распределенная корпоративная сеть которая построена на ADSL. После установки маршрутизаторов через пару дней их стали злостно атаковать, пытаться взломать. Вчера(видно спад активности на графиках) в первой половине для по заливал правила, стало лучше но все равно аномальная работа канала(исходящий трафик) Вот графики активности 1го интерфейса т.е. интернет подключения с белым адресом(выкладываю с пары маршрутизаторов): И соответственно загрузка процессора ориентировочна такая(это еще не самый страшный случай, пока не залил правила ддосили на 100% камни) Вот правила фильтрации, "солянка" (может кому тоже пригодится, сможет что-то выбрать себе) /ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d /ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr connection-limit=3,32 action=tarpit /ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes /ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no /ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no /ip firewall connection tracking set tcp-syncookie=yes /ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers" /ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m /ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h /ip firewall filter add chain=forward connection-state=new action=jump jump-target=detect-ddos /ip firewall filter add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return /ip firewall filter add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m /ip firewall filter add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m /ip firewall filter add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop /ip firewall filter add chain=input connection-state=established comment="Accept established connections" /ip firewall filter add chain=input connection-state=related comment="Accept related connections" /ip firewall filter add chain=input connection-state=invalid action=drop comment="Drop invalid connections" /ip firewall filter add chain=input protocol=udp action=accept comment="UDP" disabled=no /ip firewall filter add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings" /ip firewall filter add chain=input protocol=icmp action=drop comment="Drop excess pings" /ip firewall filter add chain=input protocol=tcp dst-port=22 comment="SSH for secure shell" /ip firewall filter add chain=input protocol=tcp dst-port=8291 comment="winbox" ***/ip firewall filter add chain=input src-address=*.*.*.0/24 comment="From Mikrotikls network1" ***/ip firewall filter add chain=input src-address=*.*.*.0/24 comment="From Mikrotikls network2" ***/ip firewall filter add chain=input src-address=*.*.*.0/24 comment="From Mikrotikls network1" ***/ip firewall filter add chain=input src-address=192.168.*.0/24 comment="From our private LAN" /ip firewall filter add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else" /ip firewall filter add chain=input action=drop comment="Drop everything else" /ip firewall filter add action=drop chain=virus comment="Drop Spammer" disabled=no dst-port=25 protocol=tcp src-address-list=spammer /ip firewall filter add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=virus comment="add to spammer list" connection-limit=30,32 disabled=no dst-port=25 limit=10,5 protocol=tcp src-address-list=!smtpOK /ip firewall filter add action=drop chain=virus comment="SMTP SPAM stopper!" disabled=no dst-port=25 protocol=tcp src-address-list=!smtpOK /ip firewall filter add action=drop chain=virus comment="Drop 53 DoS attack" disabled=no dst-port=53 protocol=tcp src-address-list=spammer /ip firewall filter add action=drop chain=virus comment="Drop 53 DoS attack" disabled=no dst-port=53 protocol=udp src-address-list=spammer /ip firewall filter add action=drop chain=virus comment="Drop 80 DoS attack" disabled=no dst-port=80 protocol=tcp src-address-list=spammer /ip firewall filter add action=add-src-to-address-list address-list=spammer address-list-timeout=2d chain=virus comment="Drop 80 DoS attack" connection-limit=40,32 disabled=no dst-port=80 limit=20,5 protocol=tcp src-address-list=!smtpOK /ip firewall filter add chain=input in-interface=ether1 protocol=tcp tcp-flags=syn action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether1 protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether1 connection-state=new action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether2 protocol=tcp tcp-flags=syn action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether2 protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether2 connection-state=new action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input connection-state=invalid action=drop comment="sbros neudachnye sessii" /ip firewall filter add chain=input connection-state=established action=accept comment="razreshit' vse podkljuchenija" /ip firewall filter add chain=input protocol=icmp action=accept comment="Razreshit' ICMP" ***/ip firewall filter add chain=input src-address=192.168.*.0/24 action=accept in-interface=ether5 comment="Pozvolit' vnutrennij trafik na portah, krome WAN porta" /ip firewall filter add chain=input action=drop comment="Vse ostal'noj trafik zapretit!!!" /ip firewall filter add chain=forward protocol=tcp connection-state=invalid action=drop comment="sbros neudachnyh podkljuchenij" /ip firewall filter add chain=forward connection-state=established action=accept comment="razreshit' uzhe ustanovlennye sessii" /ip firewall filter add chain=forward connection-state=related action=accept comment="razreshit' svjazannye sessii" /ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m disabled=no /ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list="Blocked IP's" address-list-timeout=3h /ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="Blocked IP's" address-list-timeout=2w comment="dobavljaem porty skanerov v blok list" disabled=no /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan" /ip firewall filter add chain=udp protocol=udp dst-port=69 action=drop comment="Blocking UDP Packet" disabled=no /ip firewall filter add chain=udp protocol=udp dst-port=111 action=drop comment="" disabled=no /ip firewall filter add chain=udp protocol=udp dst-port=135 action=drop comment="" disabled=no /ip firewall filter add chain=udp protocol=udp dst-port=137-139 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=2049 action=drop comment="" disabled=no /ip firewall filter add chain=udp protocol=udp dst-port=3133 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=69 action=drop comment="Bloking TCP Packet" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=111 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=119 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=135 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=445 actio=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=2049 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=20034 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=3133 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="" disabled=no /ip firewall filter add chain=icmp protocol=icmp action=drop comment="" disabled=no /ip firewall filter add chain=forward p2p=all-p2p action=accept comment="P2P traffic" disabled=no Ну и поддержание жизни: ***/system watchdog set no-ping-delay=10m watch-address=192.168.*.1 Но все бы ничего, да не могу понять почему такая активность идет на исход? Выкладываю Торч и Соединения с правилами. Вот график интерфейса удаленного маршрутизатора, сижу на нем через интернет. Вставить ник Quote
kosmich7 Posted June 26, 2013 Posted June 26, 2013 Насколько я помню это проблемка некоторой прошивки тика, в последних пофиксили, смена порта на нестандартный тоже решает, много правил в фаерволе - нагрузка на проц,3-5раз левый пасс и в бан на сутки. Вставить ник Quote
vovannovig Posted June 26, 2013 Author Posted June 26, 2013 С правилами разобраться можно и бан сделать,а вот почему исход такой большой? проверил от провайдера - ситуация таже - подтвердили что исход за сутки был в 3 раза больше порядка 6-исход и 2 на вход Вставить ник Quote
kosmich7 Posted June 26, 2013 Posted June 26, 2013 Торчем посмотреть что там исходит, разобрать, прошивка однинаковая или зоопарк прошивок ? Вставить ник Quote
vovannovig Posted June 26, 2013 Author Posted June 26, 2013 (edited) Выкладываю Торч и Соединения с правилами. Изображение http://ifotki.info/14/332ae62b8365b1bb7a346f859031e6dbc3188c154887569.jpg.html http://ifotki.info/14/c408b1b58f6b0024718ab257c12b81a2c3188c154887569.jpg.html http://ifotki.info/14/c2f737ac1a43a5d504145e6f187f02e3c3188c154887569.jpg.html http://ifotki.info/14/dcbbad5739ed4c2e0a12773d80e2b467c3188c154887569.jpg.html http://ifotki.info/14/96c4758b0b543220a429d20ac2d403f6c3188c154887569.jpg.html http://ifotki.info/14/332ae62b8365b1bb7a346f859031e6dbc3188c154887569.jpg.html Насчет прошивок стояла прошивка 6.1,после ДДОСа вернулся на 5.25 Edited June 26, 2013 by vovannovig Вставить ник Quote
vovannovig Posted June 26, 2013 Author Posted June 26, 2013 Вот это другой маршрутизатор, хоть на нем ситуация и более менее нормальная, но та же ситуация просматривается! Пользователей отключил. Вставить ник Quote
kosmich7 Posted June 26, 2013 Posted June 26, 2013 (edited) днс в мир не светит ? И прошивка какая ? Edited June 26, 2013 by kosmich7 Вставить ник Quote
vovannovig Posted June 26, 2013 Author Posted June 26, 2013 (edited) Прошивка 5.25 ДНС в мир не светит,пробовал сканировать с сайтов онлайн сканер, да и правилами вроде все прикрыто Вот продолжение ситуации - в 11 час. сменили белый адрес и исход сразу стал меньше входа,т.е. вероятность что сам ТИК что-то надумал уменьшается. Кстати говоря как и нагрузка на процессор: Edited June 26, 2013 by vovannovig Вставить ник Quote
NikAlexAn Posted June 26, 2013 Posted June 26, 2013 А нельзя проверить откуда трафик то берётся? Во внутренней сети может кто генерил трафик? Вставить ник Quote
vovannovig Posted June 26, 2013 Author Posted June 26, 2013 (edited) На момент замеров, обслуживания отключал правило маскарадинга или просто тушил локальный интерфейс.Конечно не все время но ночью или перерывы бы били могу выложить внутренние интерфейсы графики Edited June 26, 2013 by vovannovig Вставить ник Quote
Ivan_83 Posted June 26, 2013 Posted June 26, 2013 У меня был как то глюк на МТ: он тупо перепосылал один и тот же TCP пакет, хз почему. Вставить ник Quote
kosmich7 Posted June 26, 2013 Posted June 26, 2013 На 5,24 я таких "приколов" не встречал, в соседней теме пишут проблемы с днс на 5,25. Вставить ник Quote
vovannovig Posted June 26, 2013 Author Posted June 26, 2013 Да про сканировали и оказалось что к ДНС каким-то образом можно достучатся и он начинает отвечать и тем самым ложит исход. как его закрыть правильно пока ищу т.к. какое-то странное поведение и ТИКА на запрет УДП,... то интернет перестает работать то америкосы все давят. Консенсус ищу. Если у кого есть готовый конфиг по принципу -запретить все и разрешить только -удаленное управление с определенной подсети(или ИП сам поменяю) - хоть это есть -разрешать пользователям ходить в интернет т.е. натить Очень странно работает, перебрал конфиги готовые с интернета,уязвимость остается, пробовал закрывать по разному так или иначе что-то не работает то Тик ДНС не отвечает и в локальную сеть,то вообще в интернет не выпускает... Вставить ник Quote
vovannovig Posted June 26, 2013 Author Posted June 26, 2013 Вообще если говорить только об данном случае достаточно /ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=ether1 action=drop comment="Drop UDP 53 Port" но получается уж слишком большая "солянка" у меня :) да и по сути: 1-Чем меньше конфиг тем лучше 2-Надо двигаться с "Все запрещено" Конфиг проверен и работает на прошивках 5.25 и 6.1 Порты = 1-Интернет,2-Интернет,5-Локальная сеть /ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=ether1 action=drop comment="Drop UDP 53 Port" /ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d /ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr connection-limit=3,32 action=tarpit /ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes /ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no /ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no /ip firewall connection tracking set tcp-syncookie=yes /ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers" /ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m /ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h /ip firewall filter add chain=forward connection-state=new action=jump jump-target=detect-ddos /ip firewall filter add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return /ip firewall filter add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m /ip firewall filter add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m /ip firewall filter add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop /ip firewall filter add chain=input connection-state=established comment="Accept established connections" /ip firewall filter add chain=input connection-state=related comment="Accept related connections" /ip firewall filter add chain=input connection-state=invalid action=drop comment="Drop invalid connections" /ip firewall filter add chain=input protocol=udp action=accept comment="UDP" disabled=no /ip firewall filter add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings" /ip firewall filter add chain=input protocol=icmp action=drop comment="Drop excess pings" /ip firewall filter add chain=input protocol=tcp dst-port=22 comment="SSH for secure shell" /ip firewall filter add chain=input protocol=tcp dst-port=8291 comment="winbox" /ip firewall filter add chain=input src-address=*.*.*.0/24 comment="From Mikrotikls network1" /ip firewall filter add chain=input src-address=*.*.*.0/24 comment="From Mikrotikls network2" /ip firewall filter add chain=input src-address=*.*.*.0/24 comment="From Mikrotikls network1" /ip firewall filter add chain=input in-interface=ether5 comment="From our private LAN" /ip firewall filter add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else" /ip firewall filter add chain=input action=drop comment="Drop everything else" /ip firewall filter add action=drop chain=virus comment="Drop Spammer" disabled=no dst-port=25 protocol=tcp src-address-list=spammer /ip firewall filter add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=virus comment="add to spammer list" connection-limit=30,32 disabled=no dst-port=25 limit=10,5 protocol=tcp src-address-list=!smtpOK /ip firewall filter add action=drop chain=virus comment="SMTP SPAM stopper!" disabled=no dst-port=25 protocol=tcp src-address-list=!smtpOK /ip firewall filter add action=drop chain=virus comment="Drop 53 DoS attack" disabled=no dst-port=53 protocol=tcp src-address-list=spammer /ip firewall filter add action=drop chain=virus comment="Drop 53 DoS attack" disabled=no dst-port=53 protocol=udp src-address-list=spammer /ip firewall filter add action=drop chain=virus comment="Drop 80 DoS attack" disabled=no dst-port=80 protocol=tcp src-address-list=spammer /ip firewall filter add action=add-src-to-address-list address-list=spammer address-list-timeout=2d chain=virus comment="Drop 80 DoS attack" connection-limit=40,32 disabled=no dst-port=80 limit=20,5 protocol=tcp src-address-list=!smtpOK /ip firewall filter add chain=input in-interface=ether1 protocol=tcp tcp-flags=syn action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether1 protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether1 connection-state=new action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether2 protocol=tcp tcp-flags=syn action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether2 protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input in-interface=ether2 connection-state=new action=reject reject-with=icmp-network-unreachable /ip firewall filter add chain=input connection-state=invalid action=drop comment="sbros neudachnye sessii" /ip firewall filter add chain=input connection-state=established action=accept comment="razreshit' vse podkljuchenija" /ip firewall filter add chain=input protocol=icmp action=accept comment="Razreshit' ICMP" /ip firewall filter add chain=input action=accept in-interface=ether5 comment="Pozvolit' vnutrennij trafik na portah, krome WAN porta" /ip firewall filter add chain=input action=drop comment="Vse ostal'noj trafik zapretit!!!" /ip firewall filter add chain=forward protocol=tcp connection-state=invalid action=drop comment="sbros neudachnyh podkljuchenij" /ip firewall filter add chain=forward connection-state=established action=accept comment="razreshit' uzhe ustanovlennye sessii" /ip firewall filter add chain=forward connection-state=related action=accept comment="razreshit' svjazannye sessii" /ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m disabled=no /ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list="Blocked IP's" address-list-timeout=3h /ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="Blocked IP's" address-list-timeout=2w comment="dobavljaem porty skanerov v blok list" disabled=no /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan" /ip firewall filter add chain=udp protocol=udp dst-port=69 action=drop comment="Blocking UDP Packet" disabled=no /ip firewall filter add chain=udp protocol=udp dst-port=111 action=drop comment="" disabled=no /ip firewall filter add chain=udp protocol=udp dst-port=135 action=drop comment="" disabled=no /ip firewall filter add chain=udp protocol=udp dst-port=137-139 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=2049 action=drop comment="" disabled=no /ip firewall filter add chain=udp protocol=udp dst-port=3133 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=69 action=drop comment="Bloking TCP Packet" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=111 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=119 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=135 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=445 actio=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=2049 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=20034 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=3133 action=drop comment="" disabled=no /ip firewall filter add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="" disabled=no /ip firewall filter add chain=icmp protocol=icmp action=drop comment="" disabled=no /ip firewall filter add chain=forward p2p=all-p2p action=drop comment="P2P traffic" disabled=no Вставить ник Quote
Zaebasto Posted June 26, 2013 Posted June 26, 2013 ставим в Dns allow-remote-requests: no и делаем /ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=ether1 action=drop, только если интернет по пппое то правило делаем на ппп интерфейс. у меня за 3 дня 3 гига трафика дропнуто.... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.