Mikrotik — блокировка перебора паролей

В последнее время все кому не лень подбирают пароли к удаленному рабочему столу и другим открытым сервисам. Есть разные способы блокировки этого, например такой:

/ip firewall filter
add action=reject chain=forward comment="Block RDP bruteforce" log=yes \
    log-prefix="Blocked - " reject-with=icmp-network-unreachable \
    src-address-list="Blocked bruteforcers"
add action=add-src-to-address-list address-list="Blocked bruteforcers" \
    address-list-timeout=60m chain=forward comment="RDP bruteforce stage4" \
    connection-state=new dst-port=3389 log=yes log-prefix=\
    "RDP BRUTEFORCE - " protocol=tcp src-address-list=rdp_bruteforce3
add action=add-src-to-address-list address-list=rdp_bruteforce3 \
    address-list-timeout=15m chain=forward comment="RDP bruteforce stage3" \
    connection-state=new dst-port=3389 log=yes log-prefix=\
    "RDP BRUTEFORCE - STAGE3 - " protocol=tcp src-address-list=rdp_bruteforce2
add action=add-src-to-address-list address-list=rdp_bruteforce2 \
    address-list-timeout=15m chain=forward comment="RDP bruteforce stage2" \
    connection-state=new dst-port=3389 log=yes log-prefix=\
    "RDP BRUTEFORCE - STAGE2 - " protocol=tcp src-address-list=rdp_bruteforce1
add action=add-src-to-address-list address-list=rdp_bruteforce1 \
    address-list-timeout=15m chain=forward comment="RDP bruteforce stage1" \
    connection-state=new dst-port=3389 log=yes log-prefix=\
    "RDP BRUTEFORCE - STAGE1 -" protocol=tcp

Работает это таким образом.

При попытке подключения атакующий ip записывается в список rdp_bruteforce1 на указанный в address-list-timeout промежуток времени. При второй попытке подключения этот ip записывается в rdp_bruteforce2, при третьей — rdp_bruteforce3. При следующих попытках он попадает в список Blocked bruteforcers и блокируется.

Надо обратить внимание, что в dst-port должен указываться не внешний порт подключения, а конечный порт, на который пробрасывается соединение. Допустим, если для подключения по RDP используется внешний нестандартный порт 12345, который пробрасывается на порт 3389 внутреннего сервера, то в dst-port нужно указать 3389, а не 12345. Подробнее тут.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *