Режим работы

пн. - пт.: 09:00-17:00

сб. - вс.: выходной

+7(961)599-5867

support@supportila.ru

Реклама

HashFlare

Последние статьи

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Prev Next

Последние новости

  • 1
  • 2
  • 3
Prev Next

Реклама

В комментариях к старой теме о настройке Queues Tree попросили написать статейку по защите микротика от атак. Тут я призадумался. В сети полно статей различного рода с рекомендациями на целую простыню, как блокировать брутфорс и закрывать порты для доступа из вне. Если честно мне не совсем понятно зачем так извращаться. На своем оборудовании я всегда блокирую только 53 порт. Остальное либо закрыто по-умолчанию, либо отключается в разделе IP. Тем не менее напишу несколько рекомендаций, что бы закрыть основные дыры.

Содержание

  1. Закрываем 53 порт
  2. Отключаем стандартные порты
  3. Закрываем любой порт

Закрываем 53 порт для доступа из вне

Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт? Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял Mikrotik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно. Когда я приехал, то сделал следующее.

Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.

1

Что бы сделать так же, добавляем первое правило.

  1. Chain – input
  2. Protocol – 17(udp)
  3. Dst.port – 53
  4. In.interface – ваш интерфейс, куда включен шнурок провайдера. В моем случае это pppoe-соединение Ростелекома.
  5. Action – add src to address list
  6. Address List – DNS_FLOOD (название может быть любым)

2

3

И второе правило.

  1. Chain – input
  2. Protocol – 17(udp)
  3. Dst.port – 53
  4. In.Interface – ваш интерфейс, куда включен провайдер
  5. Action – drop

4

5

На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был рад по самые помидоры. Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.

Отключаем стандартные порты

Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:

Заходим IP-Services и видим список портов. Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет. У меня выглядит вот так:

6

Закрываем любой порт

Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать. Для примера давайте закроем порт 8080.

IP->Firewall->Filter Rules->New Firewall rule (синий плюсик)

  1. Chain – input
  2. Protocol – tcp
  3. Dst.port – 8080
  4. In.Interface – ваш интерфейс
  5. Action – drop

Все! Вот так просто! Порт закрыт. Но будьте предельно аккуратны, не стоит беспорядочно закрывать все. В mikrotike с завода идет принцип запрещено все, что не разрешено. Поэтому сильно заморачиваться нет необходимости.

В следующий раз напишу, как закрыться от брутфорса и флуда, если нет возможности закрыть порт целиком.

Если есть вопросы, задавайте в комментариях, отвечу там же. Если же тема будет объемной, подготовлю отдельную статью.

Оставить отзыв


Защитный код Обновить

Наверх