Настройка находится в IP->Firewall
Разрешение установленных и связанных подключений для входящего и проходящего трафика
/ip firewall filter add action=accept chain=forward connection-state=established,related
/ip firewall filter add action=accept chain=in connection-state=established,related
Доверительные правила для локальной сети
/ip firewall filter add action=accept chain=input in-interface=bridge1 add action=accept chain=forward in-interface=bridge1
Разрешить ICMP запросы с WAN интерфейсов
/ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1
Удалить все пакеты в состоянии invalid
/ip firewall filter add action=drop chain=forward connection-state=invalid
/ip firewall filter add action=drop chain=input connection-state=invalid
Удалить все остальные пакеты
/ip firewall filter add action=drop chain=in
Правила настройки Firewall в роутере MikroTik
Практический пример.
Aктивные службы: NAT(scrnat и dstnat), DHCP, WiFi, Firewall и VPN туннель типа Ipsec с аналогичной моделью. Правила Firewall-а были приняты в работу после инцидентов со 100% загрузкой CPU(роутер тормозит и зависает). Счетчики пакетов после 11 дней работы выглядят следующим образом:
> /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 1 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 2 ;;; IPSec chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec 3 chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 4 ;;; Base-Exchange-Rules chain=input action=accept connection-state=established log=no log-prefix="" 5 chain=forward action=accept connection-state=established log=no log-prefix="" 6 chain=forward action=accept src-address=x.x.x.x/x log=no log-prefix="" 7 chain=forward action=accept connection-state=related log=no log-prefix="" 8 chain=input action=accept connection-state=related log=no log-prefix="" 9 ;;; Forward-Access chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix="" 10 ;;; Remote-Access chain=input action=accept src-address-list=Remote-Access log=no log-prefix="" 11 ;;; ICMP chain=input action=accept protocol=icmp log=no log-prefix="" 12 ;;; Drop-Invalid chain=input action=drop connection-state=invalid log=no log-prefix="" 13 chain=forward action=drop connection-state=invalid log=no log-prefix="" 14 ;;; Drop-Other chain=input action=drop in-interface=ether1 log=no log-prefix="" 15 chain=forward action=drop log=no log-prefix=""
Remote-Access – список ip-адресов, с которых разрешено внешнее подключение.
Как защитить MikroTik от DDOS атаки
В первой части статьи, описанные правила Firewall имеют определенно строгий вид и если их описать словами то:
Разрешены(Accept):
- все установленные ранее подключения(было разрешено ранее, значит и сейчас будет разрешено);
- запросы с локальной сети, полное доверие;
- запросы на команду PING с внешней сети, имеет диагностический характер.
Запрещены(Drop):
- пакеты в состоянии invalid;
- все другие пакеты, которые не подошли ни к одному из правил выше.
Как правило DDOS атаки совершаются через ICMP запросы и этой единственный возможный запрос, на который ответит роутер MikroTik по цепочке Input. Все остальные пакеты он будет напросто отклонять.
Дополнительная мера по защите от атаки – Блокировка сканера портов в MikroTik
В качестве метода по борьбе с DDoS атакой будет рассмотрен сценарий, в котором будет применяться фильтр на количество новых подключений в цепочках Input и Forward.
/ip firewall filter add action=jump chain=forward connection-state=new in-interface=ether1 jump-target=Pre-DDoS add action=jump chain=input connection-state=new in-interface=ether1 jump-target=Pre-DDoS add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS add action=drop chain=input connection-state=new src-address-list=BAN-DDoS add action=return chain=Pre-DDoS dst-limit=32,32,src-address/10s add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=14d chain=Pre-DDoS
Свежие комментарии