Bloķējam bruteforce paroļu pielasīšanas mēģinājumus Mikrotik rūterim.

Iekš /ip firewall filter:

Atļaujam slēgties baltajā sarakstā esošajiem klientiem.

add action=drop chain=input dst-port=80 protocol=tcp src-address-list=!whitelist
add chain=input dst-port=22 protocol=tcp src-address-list=whitelist

Nezināmiem klientiem atļaujam pāris mēģinājumus pieslēgties un ievadīt paroli. Ja klients neievada pareizi paroli, tad viņš tiek bloķēts. Piemērā - bloķēšana uz 10 dienām.

SSH:

add action=drop chain=input comment="drop ssh bruteforcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1h chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1h chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1h chain=input dst-port=22 protocol=tcp

Winbox:

Kā variants, var nobloķēt visus pieslēgumus no visām adresēm izņemot balto sarakstu.

Ja gadījumā ir nepieciešamība pieslēgties no dinamiskām IP adresēm, tad veicam, vispirms, „pieklauvēšanu“ ar noteikta lieluma ICMP paketi.

В случае если нужен доступ с неизвестных адресов я делаю ожидание icmp пакета (ping) определённого размера. Если такой пакет прилетает, то адрес источника добавляется в список allow-ip со временем в 1 час. При желании можно сделать каскад из таких пакетов.

/ip firewall filter
add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input packet-size=683 protocol=icmp

Обратие внимание на размер пакета packet-size 683 байт. Но при пинговании Вы должны указывать на 28 байт меньше. В данном случае пинг из windows:

ping -l 655 myhostname.domain