Правила для защиты Mikrotik

Защита роутера обязанность каждого системного администратора.

Эти правила, команда Albion-IT использует в каждой настройке роутера для клиента.

 

1.Защищаем WAN порт от перебора портов. Если кто-нибудь или что-нибудь будет сканировать порты нашего маршрутизатора,то при обращению к определенному порту, его IP попадет в черный список. Выбираем незанятый, но часто атакуемый порт — 22.

 

/ip firewall filter

add action=add-src-to-address-list address-list=SCANERS address-list-timeout=30m chain=input comment=SCANERS dst-port=22 in-interface=WAN log=yes log-prefix=SCANERS protocol=tcp

add action=drop chain=input comment=SCANERS in-interface=WAN src-address-list=SCANERS

 

2.Защищаем от флуд-пинг, атаки на сетевое оборудование, ставящий своей целью отказ в обслуживании.

 

/ip firewall filter

add chain=input comment=Drop_ICMP in-interface=WAN limit=50/2s,2:packet protocol=icmp

 

3.Защищаем от сканирования портов на WAN-интерфейсе:

 

/ip firewall filter

add action=drop chain=input comment=Port_SCANERS src-address-list="port scanners"

add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp psd=21,3s,3,1

add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg

add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=fin,syn

add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=syn,rst

add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg

add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

 

4.Защищаем WAN порт от DoS атаки. Будем добавлять в черный список на сутки тех, кто пытается открыть больше 15 соединений в секунду.

 

/ip firewall filter

add action=jump chain=forward connection-state=new in-interface-list=WAN jump-target=Def-DoS

add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=Def-DoS

add action=drop chain=forward connection-state=new src-address-list=BAN-Def-DoS

add action=return chain=anti-DoS dst-limit=15,15,src-address/10s

add action=add-src-to-address-list address-list=BAN-Def-DoS address-list-timeout=1d chain=Def-DoS

add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=WAN jump-target=anti-BruteForce protocol=tcp

add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce

add action=return chain=anti-BruteForce dst-limit=4/1m,1,src-address/1m40s

add action=add-src-to-address-list address-list=BAN-BruteForce address-list-timeout=1d chain=anti-BruteForce

 

5.Если в сети не используется IPv6 и нужно заблокировать тунели на рабочих машинах в сети.

 

/ip firewall filter

add action=drop chain=forward comment=»Block-IPv6″ dst-port=3544 protocol=tcp

add action=drop chain=forward comment=»Block-IPv6″ dst-port=3544 protocol=udp

add action=drop chain=forward comment=»Block-IPv6″ protocol=ipv6

 

6.Защищаемся от SYN-флуд.SYN-флуд — это когда идёт отправка большого количества SYN-запросов на установку TCP-соединения. Проблема состоит в том, что пакеты обрабатываются в порядке очередности и при наличии достаточного количества «мусора», маршрутизатор попросту перестанет обрабатывать запросы от обычных клиентов.

 

/ip settings set tcp-syncookies=yes

/ip firewall filter

add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=30m chain=input comment="DoS — Limit incoming connections, add IP to Blacklist" connection-limit=100,32 in-interface=ether1-gateway protocol=tcp

add action=tarpit chain=input comment="DoS — capture and hold connections, try to slow the attacker" connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist

add action=jump chain=forward comment="DoS — SYN Flood protect" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=jump chain=input connection-state=new in-interface=ether1-gateway jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn

add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn

Метаданные статьи

Идентификатор статьи:
8
Категория:
Просмотры:
8
Рейтинг (Голоса):
(0)