Страницы

четверг, 11 октября 2018 г.

mikrotik_anti_ddos [homewiki]

mikrotik_anti_ddos [homewiki]

https://wiki.vt100.ru/doku.php?id=mikrotik_anti_ddos





mikrotik_anti_ddos
/ip firewall filter
Все новые входящие подключения отправляются в цепочку anti-bruteforce
add action=jump chain=input comment="catch new UDP connections"\
 connection-state=new dst-port=500,4500,1701,53 in-interface-list=WAN\
 jump-target=anti-bruteforce protocol=udp src-address-list=\
!hosts.allow

add action=jump chain=input comment="catch TCP connections"\
 connection-state=new dst-port=1723,22,3389,8291,53\
 in-interface-list=WAN jump-target=anti-bruteforce\
 protocol=tcp

add action=jump chain=input comment="all input jump to anti-bruteforce chain"\
 connection-nat-state=!srcnat,dstnat connection-state=invalid,new\
 in-interface-list=WAN jump-target=anti-bruteforce \
 src-address-list=!hosts.allow
Возвращаем из этой цепочки обратно в input первые 2(3) пакета в минуту:
add action=return chain=anti-bruteforce dst-limit=2/1m,1,src-address/1m40s\
comment="return (allow) some catched connections back to main firewall flow"
Всё остальное не dstnat/srcnat, что превысило, на 1 день добавляется в address-list block-bruteforce
add action=add-src-to-address-list address-list=block-bruteforce\
 address-list-timeout=1d chain=anti-bruteforce
/ip firewall raw
Дроп пакетов, превысивших лимит
add action=drop chain=prerouting in-interface-list=WAN\
 src-address-list=block-bruteforce
на

Комментариев нет:

Отправить комментарий

Примечание. Отправлять комментарии могут только участники этого блога.