mikrotik_anti_ddos [homewiki]
https://wiki.vt100.ru/doku.php?id=mikrotik_anti_ddos
https://wiki.vt100.ru/doku.php?id=mikrotik_anti_ddos
mikrotik_anti_ddos
/ip firewall filter
Все новые входящие подключения отправляются в цепочку anti-bruteforce
add action=jump chain=input comment="catch new UDP connections"\ connection-state=new dst-port=500,4500,1701,53 in-interface-list=WAN\ jump-target=anti-bruteforce protocol=udp src-address-list=\ !hosts.allow add action=jump chain=input comment="catch TCP connections"\ connection-state=new dst-port=1723,22,3389,8291,53\ in-interface-list=WAN jump-target=anti-bruteforce\ protocol=tcp add action=jump chain=input comment="all input jump to anti-bruteforce chain"\ connection-nat-state=!srcnat,dstnat connection-state=invalid,new\ in-interface-list=WAN jump-target=anti-bruteforce \ src-address-list=!hosts.allow
Возвращаем из этой цепочки обратно в input первые 2(3) пакета в минуту:
add action=return chain=anti-bruteforce dst-limit=2/1m,1,src-address/1m40s\ comment="return (allow) some catched connections back to main firewall flow"
Всё остальное не dstnat/srcnat, что превысило, на 1 день добавляется в address-list block-bruteforce
add action=add-src-to-address-list address-list=block-bruteforce\ address-list-timeout=1d chain=anti-bruteforce
/ip firewall raw
Дроп пакетов, превысивших лимит
add action=drop chain=prerouting in-interface-list=WAN\ src-address-list=block-bruteforce
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.