В каком разделе будем создавать правила:
/ip firewall filter
Правило 1:
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" \
connection-state=new dst-port=22,3389,8291 in-interface=\
ether4-wan protocol=tcp
Правило 2:
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment=\
"block honeypot asterisk" connection-state=new dst-port=5060 \
in-interface=ether4-wan protocol=udp
В каком разделе будем создавать правило:
/ip firewall raw
Правило 3:
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\
"Honeypot Hacker"
Первое правило на популярных TCP портах 22, 3389, 8291 внешнего интерфейса ether4-wan отправляет IP «гостя» в список «Honeypot Hacker» (порты для ssh, rdp и winbox заблаговременно отключены или изменены на другие). Второе делает то-же самое на популярном UDP 5060.
Третье правило на стадии прероутинга дропает пакеты «гостей» чей srs-address попал в «Honeypot Hacker».
Спустя две недели работы моего домашнего Mikrotik список «Honeypot Hacker» включил в себя около полутора тысяч IP адресов любителей «подержать за вымя» мои сетевые ресурсы (дома своя телефония, почта, nextcloud, rdp) Brute-force атаки прекратились, наступило блаженство.
Но вам может не так повезти, и rdp сервер продолжат ломать перебором паролей, ведь не всегда порт на котором находится сервис можно поменять.
Как защититься от перебора паролей на уже обнаруженном сервере?
Комментарии
а если в правилах ловли не указывать интерфейс на котором это ловится, то неважно какой внешний порт, он смотрит все пакеты на нужеый порт. например есть много внешних 22465,5872,4536 и т.д. но все идут на 3389 внутри, то пойманы будут кто начинает новые соединения. а дальше только от тупизны юзверей и стабильности канала, зависит сколько делаю попыток.
/ip firewall filter add action=add-src-to-address-list address-list=rdp_2 address-list-timeout=2m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_1
/ip firewall filter add action=add-src-to-address-list address-list=rdp_1 address-list-timeout=2m chain=forward connection-state=new dst-port=3389 protocol=tcp
RSS лента комментариев этой записи