Защита роутера обязанность каждого системного администратора. Эти правила, команда 812 ИТ-Сервиса использует в каждой настройке роутера для клиента.
1.Защищаем WAN порт от DoS атаки. Будем добавлять в черный список на сутки тех, кто пытается открыть больше 15 соединений в секунду.
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface-list=WAN jump-target=Def-DoS
add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=Def-DoS
add action=drop chain=forward connection-state=new src-address-list=BAN-Def-DoS
add action=return chain=anti-DoS dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=BAN-Def-DoS address-list-timeout=1d chain=Def-DoS
add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=WAN jump-target=anti-BruteForce protocol=tcp
add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce
add action=return chain=anti-BruteForce dst-limit=4/1m,1,src-address/1m40s
add action=add-src-to-address-list address-list=BAN-BruteForce address-list-timeout=1d chain=anti-BruteForce
2.Если в сети не используется IPv6 и нужно заблокировать тунели на рабочих машинах в сети.
/ip firewall filter
add action=drop chain=forward comment=»Block-IPv6″ dst-port=3544 protocol=tcp
add action=drop chain=forward comment=»Block-IPv6″ dst-port=3544 protocol=udp
add action=drop chain=forward comment=»Block-IPv6″ protocol=ipv6
3.Защищаемся от SYN-флуд.SYN-флуд — это когда идёт отправка большого количества SYN-запросов на установку TCP-соединения. Проблема состоит в том, что пакеты обрабатываются в порядке очередности и при наличии достаточного количества «мусора», маршрутизатор попросту перестанет обрабатывать запросы от обычных клиентов.
/ip settings set tcp-syncookies=yes
/ip firewall filter
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=30m chain=input comment=\
«DoS — Limit incoming connections, add IP to Blacklist» \
connection-limit=100,32 in-interface=ether1-gateway protocol=tcp
add action=tarpit chain=input comment=\
«DoS — capture and hold connections, try to slow the attacker » \
connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment=»DoS — SYN Flood protect» \
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface=ether1-gateway \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
tcp-flags=syn
Так же ознакомьтесь с первой частью http://812it.ru/def-mikrotik001
ИТ обслуживание — это прежде всего умение правильно настроить оборудование. 812 ИТ-Сервис имеет сертифицированных специалистов по настройке оборудования Mikrotik.
Мы так же готовы предоставить сервер в аренду для работы с базами MS SQL . Для работы с пользователями мы используем систему заявок.