Правила для защиты Mikrotik
Защита роутера обязанность каждого системного администратора.
Эти правила, команда Albion-IT использует в каждой настройке роутера для клиента.
1.Защищаем WAN порт от перебора портов. Если кто-нибудь или что-нибудь будет сканировать порты нашего маршрутизатора,то при обращению к определенному порту, его IP попадет в черный список. Выбираем незанятый, но часто атакуемый порт — 22.
/ip firewall filter
add action=add-src-to-address-list address-list=SCANERS address-list-timeout=30m chain=input comment=SCANERS dst-port=22 in-interface=WAN log=yes log-prefix=SCANERS protocol=tcp
add action=drop chain=input comment=SCANERS in-interface=WAN src-address-list=SCANERS
2.Защищаем от флуд-пинг, атаки на сетевое оборудование, ставящий своей целью отказ в обслуживании.
/ip firewall filter
add chain=input comment=Drop_ICMP in-interface=WAN limit=50/2s,2:packet protocol=icmp
3.Защищаем от сканирования портов на WAN-интерфейсе:
/ip firewall filter
add action=drop chain=input comment=Port_SCANERS src-address-list="port scanners"
add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port_SCANERS" address-list-timeout=12w chain=input in-interface=WAN protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
4.Защищаем WAN порт от DoS атаки. Будем добавлять в черный список на сутки тех, кто пытается открыть больше 15 соединений в секунду.
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface-list=WAN jump-target=Def-DoS
add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=Def-DoS
add action=drop chain=forward connection-state=new src-address-list=BAN-Def-DoS
add action=return chain=anti-DoS dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=BAN-Def-DoS address-list-timeout=1d chain=Def-DoS
add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=WAN jump-target=anti-BruteForce protocol=tcp
add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce
add action=return chain=anti-BruteForce dst-limit=4/1m,1,src-address/1m40s
add action=add-src-to-address-list address-list=BAN-BruteForce address-list-timeout=1d chain=anti-BruteForce
5.Если в сети не используется IPv6 и нужно заблокировать тунели на рабочих машинах в сети.
/ip firewall filter
add action=drop chain=forward comment=»Block-IPv6″ dst-port=3544 protocol=tcp
add action=drop chain=forward comment=»Block-IPv6″ dst-port=3544 protocol=udp
add action=drop chain=forward comment=»Block-IPv6″ protocol=ipv6
6.Защищаемся от SYN-флуд.SYN-флуд — это когда идёт отправка большого количества SYN-запросов на установку TCP-соединения. Проблема состоит в том, что пакеты обрабатываются в порядке очередности и при наличии достаточного количества «мусора», маршрутизатор попросту перестанет обрабатывать запросы от обычных клиентов.
/ip settings set tcp-syncookies=yes
/ip firewall filter
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=30m chain=input comment="DoS — Limit incoming connections, add IP to Blacklist" connection-limit=100,32 in-interface=ether1-gateway protocol=tcp
add action=tarpit chain=input comment="DoS — capture and hold connections, try to slow the attacker" connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="DoS — SYN Flood protect" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface=ether1-gateway jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn