База знаний IT

База знаний старого айтишника

Блокировка брутфорса RDP на микротик

23 Апр, 2020 MikroTik 0 Комментариев

В данный статье приведен один из возжных вариантов блокировки доступа к RDP пробросам.

  1. Создаем Adress List с именем «Allow RDP»
    Добавляем в него все подсети и внешние IP адреса с которых не должен блокироваться RDP доступ.
  2. Открываем New Terminal и вставляем в него код, изначально изменив под себя праметр «address-list-timeout» во втором правиле(выделен жирным), в нем указывается на какой срок блокируется ip адресс, в данном слочае срок равен 248 дням, если адресов будет слишком много то это может занять память роутера и он начнет тормозить, нужно эксперементировать:
/ip firewall filter add action=accept chain=forward comment="accept rdp address-list ITL" dst-port=3389 protocol=tcp src-address-list="Allow RDP"
 /ip firewall filter add action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=35w3d chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage4
 /ip firewall filter add action=add-src-to-address-list address-list=rdp_stage4 address-list-timeout=4m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage3
 /ip firewall filter add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=4m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage2
 /ip firewall filter add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=4m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage1
 /ip firewall filter add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=4m chain=forward connection-state=new dst-port=3389 protocol=tcp

Данные правила постепенно заносят ip с которого пытаются постоянно подключиться в списки сначала rdp_stage1, если в течении 4 минут с этого адреса пробуют подключитьсяснова то он заносится в rdp_stage2 т .д. пока не ip не попадент в список rdp_blacklist, кол-во шагов перед попаданием в rdp_blacklist можно изменять так же как и время между попытками.

3. Открываем New Terminal и вставляем в него код:

/ip firewall raw add action=drop chain=prerouting comment="drop rdp brute forcers" in-interface=ether1 src-address-list=rdp_blacklist

Данное правило блокирует весь трафик от адресов которые занесены в rdp_blacklist.

Ответить

Вы должны быть зарегистрированы в для возможности комментировать.