Wan blocking что это
Перейти к содержимому

Wan blocking что это

  • автор:

Wan blocking что это

А слабо обнародовать ФИО того, кто написал этот кусок кода? Страна должна знать своих (и чужих) героев, даже более того — руки чешутся (далее молчу. )! Обычно такие чувства возникают, когда смотришь на что-нибудь из сломавшейся детали типа продукции АвтоВАЗа — возникают мысли, что её специально сделали так, чтобы она сломалась, так и здесь.

Итак, имеем D-Link DI-804HV, Firmware Version: V1.42, Wed, Aug 03 2005
В настройках Advanced / Filter / URL Blocking включаем Enabled и в список добавляем, например, banner. В сегменте WAN-порта установлен пакетный анализатор. Открываем www-страничку и через некоторое время приходим в ужас — web-страница закачалась тремя внешними TCP-сессиями — 43 КБ, 261 КБ и 47 КБ. При этом 2-ая и 3-я сессии были с заблокированым URL, и тем не менее по этим сессиям по WAN-у прошло Tx/Rx 4198/4190 и 764/756 пакетов. Кто угадает, что было в этих пакетах? Они туда-сюда гоняли пустые TCP-Ack.

No. Absolute Time Source Destination Protocol Size IP Identifier Summary
27 18:35:12.196306 xxx.xxx.xxx.73:57567 81.176.67.69:http HTTP 66 27582 Seq=2618065351,Ack=0000000000,F=. S.,Len= 0,Win=16384
31 18:35:12.223809 81.176.67.69:http xxx.xxx.xxx.73:57567 HTTP 66 58175 Seq=2924040246,Ack=2618065352,F=.A..S.,Len= 0,Win=65535
32 18:35:12.226416 xxx.xxx.xxx.73:57567 81.176.67.69:http HTTP 64 27584 Seq=2618065352,Ack=2924040247,F=.A. Len= 0,Win=17520
33 18:35:12.238149 xxx.xxx.xxx.73:57567 81.176.67.69:http HTTP 64 27586 Seq=2618065888,Ack=2924040316,F=.A. Len= 0,Win=17452
34 18:35:12.238359 xxx.xxx.xxx.73:57567 81.176.67.69:http HTTP 64 27589 Seq=2618065888,Ack=2924040316,F=.A. F,Len= 0,Win=17452
39 18:35:12.266940 81.176.67.69:http xxx.xxx.xxx.73:57567 HTTP 64 58308 Seq=2924040247,Ack=2618065352,F=.A. Len= 0,Win=65535
40 18:35:12.269020 81.176.67.69:http xxx.xxx.xxx.73:57567 HTTP 64 58312 Seq=2924040247,Ack=2618065352,F=.A. Len= 0,Win=65535
41 18:35:12.269631 xxx.xxx.xxx.73:57567 81.176.67.69:http HTTP 64 27608 Seq=2618065889,Ack=2924040316,F=.A. Len= 0,Win=17452
42 18:35:12.271608 xxx.xxx.xxx.73:57567 81.176.67.69:http HTTP 64 27609 Seq=2618065889,Ack=2924040316,F=.A. Len= 0,Win=17452

После этого следуют в общей сумме ещё 8380 пакетов такого же вида, как и последние из примера выше, а именно:

10853 18:37:25.590841 xxx.xxx.xxx.73:57567 81.176.67.69:http HTTP 64 32768 Seq=2618065889,Ack=2924040316,F=.A. Len= 0,Win=17452
10854 18:37:25.619305 81.176.67.69:http xxx.xxx.xxx.73:57567 HTTP 64 51624 Seq=2924040247,Ack=2618065352,F=.A. Len= 0,Win=65535

Ну и кто это придумал?
Всё становится чудесатее и чудесатее

Сначала думал ещё и внутренний интерфейс отсниферить на эту же тему, но передумал — время жалко. Там и так понятно — при «попадании» запрещённого URL-a DI-804 перехватывает пакет и «от имени целевого сервера» с флагами Fin+Ack возвращает HTTP/1.0 301 Moved..Location: http://192.168.14.254:88/block.htm , но с «поддельным» Ack Number, в результате чего нарушается TCP-сессия между хостом и www-сервером, в результате чего хост безрезультатно пытается завершить TCP сессию с одним Ack Number (который был «подделан» DI-804-ым), а www-сервер безрезультатно пытается продолжить TCP сессию с оригинальным Ack Number.

Складывается впечатление, что эти устройства ВООБЩЕ тестирование не проходят.

[Offtopic] А ещё я по ходу дела сильно обрадовался устройству Вашего форума — страничка http://www.d-link.ru/phorum/viewforum.php?f=3 «весит» всего 144 КБ. Не перебор? [/b]

Заголовок сообщения:
Добавлено: Пт янв 13, 2006 10:45

Сотрудник D-LINK

Извините, ничего не понял. Не могли бы вы выслать мне файлик с пакетам на почту? Заодно и настройки самого устройства.
А по форуму. Отключите картинки. Сильно легче станет. Я так делаю когда работаю через сотовый модем.

_________________
С уважением — Александр Шебаронин.
Заголовок сообщения:
Добавлено: Сб янв 14, 2006 00:17

Ну насчёт «ничего не понял», я надеюсь, Вы преувеличили. Я не сохранял файлы т.к. было времени не шибко много.

Сейчас не могу, но попробую.
Хотя я думал, Вам самому будет интересно рассмотреть этот случай.

Заголовок сообщения:
Добавлено: Вт янв 17, 2006 00:06

1. Включаем роутер DI-804, прошивка 1.40 (просто сейчас под рукой именно этот, решил проверить, был ли этот глюк на старой прошивке?), сбасываем его Reset-ом 15 секунд. Назначаем WAN Static IP 192.168.14.140, отключаем UPnP.

2. Хост в сети LAN получил адрес по DHCP — 192.168.0.104

3. Включаем его в сеть, замкнув WAN и LAN на хаб, чтобы одним снифером сразу сниферить трафик в обеих сетях (для простоты и удобства, кроме того так чётко видна последовательность пакетов на разных интерфейсах роутера)

4. На хосте 192.168.0.104 набираем http://www.ru — результат снифа обоих интерфейсов см. в файле Packet0.csv

5. В запрошенных URL находим counter.rambler.ru, заносим его URL Blocking.

6. Повторяем, на хосте 192.168.0.104 набираем http://www.ru — результат снифа обоих интерфейсов см. в файле Packet1.csv
Покажу собственно суть:

Смотрим соединение от хоста на запрос URL-a http://counter.rambler.ru/top100.cnt?117 , вот его TCP-stream:
Endpoint 1: IP address = 192.168.0.104, TCP port = 3039
Endpoint 2: IP address = 81.19.66.19, TCP port = 80

GET /top100.cnt?117 HTTP/1.1
Host: counter.rambler.ru
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.7. Gecko/20050511 Firefox/1.0.4
Accept: image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.ru/eng/index.html
Cookie: ruid=JDz2BQGxrUKUAAAAAdgG21B=

Как видим, DI-804 ответил вместо «сервера» — HTTP/1.0 301 Moved, Location: http://192.168.0.1:80/block.htm

Теперь смотрим то же самое в пакетном виде:
Это tcp-соединение от хоста до веб-сервера перед роутером, то есть в сегменте LAN:
No. Source Destination Summary
40 192.168.0.104:3039 81.19.66.19:http Seq=0785117764,Ack=0000000000,F=. S.
52 81.19.66.19:http 192.168.0.104:3039 Seq=3352889874,Ack=0785117765,F=.A..S.
53 192.168.0.104:3039 81.19.66.19:http Seq=0785117765,Ack=3352889875,F=.A.
55 192.168.0.104:3039 81.19.66.19:http Seq=0785117765,Ack=3352889875,F=.A. GET /top100.cnt?117 HTTP/1.1 (здесь в сохранённых файлах не уазаны SEQ/ACK, вручную скопировал из снифера)
56 81.19.66.19:http 192.168.0.104:3039 Seq=3352889875,Ack=0785118185,F=.A. F,HTTP/1.0 301 Moved (здесь в сохранённых файлах не уазаны SEQ/ACK, вручную скопировал из снифера)
57 192.168.0.104:3039 81.19.66.19:http Seq=0785118185,Ack=3352889941,F=.A.
58 192.168.0.104:3039 81.19.66.19:http Seq=0785118185,Ack=3352889941,F=.A. F
85 81.19.66.19:http 192.168.0.104:3039 Seq=3352889875,Ack=0785117765,F=.A.
86 192.168.0.104:3039 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
87 81.19.66.19:http 192.168.0.104:3039 Seq=3352889875,Ack=0785117765,F=.A.
88 192.168.0.104:3039 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
101 81.19.66.19:http 192.168.0.104:3039 Seq=3352889875,Ack=0785117765,F=.A.
102 192.168.0.104:3039 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
104 81.19.66.19:http 192.168.0.104:3039 Seq=3352889875,Ack=0785117765,F=.A.
105 192.168.0.104:3039 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
114 81.19.66.19:http 192.168.0.104:3039 Seq=3352889875,Ack=0785117765,F=.A.
.
2012 .

Это транслированное tcp-соединение от хоста до веб-сервера после роутера, то есть в сегменте WAN (нумерация пакетов абсолютная):
No. Source Destination Summary
42 192.168.14.140:57287 81.19.66.19:http Seq=0785117764,Ack=0000000000,F=. S.
51 81.19.66.19:http 192.168.14.140:57287 Seq=3352889874,Ack=0785117765,F=.A..S.
54 192.168.14.140:57287 81.19.66.19:http Seq=0785117765,Ack=3352889875,F=.A.
59 192.168.14.140:57287 81.19.66.19:http Seq=0785118185,Ack=3352889941,F=.A.
60 192.168.14.140:57287 81.19.66.19:http Seq=0785118185,Ack=3352889941,F=.A. F
79 81.19.66.19:http 192.168.14.140:57287 Seq=3352889875,Ack=0785117765,F=.A.
80 81.19.66.19:http 192.168.14.140:57287 Seq=3352889875,Ack=0785117765,F=.A.
91 192.168.14.140:57287 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
92 192.168.14.140:57287 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
98 81.19.66.19:http 192.168.14.140:57287 Seq=3352889875,Ack=0785117765,F=.A.
99 81.19.66.19:http 192.168.14.140:57287 Seq=3352889875,Ack=0785117765,F=.A.
108 192.168.14.140:57287 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
109 192.168.14.140:57287 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
113 81.19.66.19:http 192.168.14.140:57287 Seq=3352889875,Ack=0785117765,F=.A.
116 192.168.14.140:57287 81.19.66.19:http Seq=0785118186,Ack=3352889941,F=.A.
117 81.19.66.19:http 192.168.14.140:57287 Seq=3352889875,Ack=0785117765,F=.A.
.
2013 .

Смотрим строку 56 — это ответ DI-804 как реакция на заблокированный URL — он «от своего имени» вернул ответ HTTP/1.0 301 Moved, но при этом указал Ack=0785118185, то есть подтверждение приёма 420 байт, также он установил признак Fin. Но в данный момент времени веб-сервер не получил от клиента ни одного байта и его SN (seq number) находится в состоянии 0785117765.

После этого, в строке 57 хост квитирует приём, указывая пакет и подтвержает закрытие соедиения (строка 58).

Однако DI-804 теперь уже не вмешивается в сессию и транслирует эти 2 пакета (в которых уже используются новые значения SN) дальше в сторону веб-сервера — строки 59 и 60.

Однако, «обиженный» веб-сервер, неполучивший порцию данных отвечает ему квитанцией только на Ack=0785117765.

А клиент продолжает попытки завершить соединение с Seq=0785118186. В это время на клиенте TCP-соединение находится в состоянии LAST_ACK.

И так примерно 450 пакетов туда + 450 обратно, 64(Eth)-14=50(IP) байт каждый. Итого, примерно, 22.5 КБ IP-данных. И это далеко не самый длинный хвост — иногда кол-во этих «хвостовых» пакетов достигает тысяч.

Что такое WAN? Чем отличается разъем WAN от LAN на роутере?

Если вы хотите узнать что такое WAN, или чем отличается WAN от LAN, то вы зашли по адресу. Сейчас постараемся разобраться, что это за технологии, разъемы, соединения, для чего они нужны и в чем отличие.

Думаю, что в большинстве случаев, когда кто-то ищет информацию по WAN, то он имеет в виду разъем на Wi-Fi роутере. Ведь практически в каждой инструкции по настройке роутера можно встретить эту аббревиатуру. Все пишут о подключении каких-то кабелей в WAN разъемы, или LAN. Давайте по порядку:

WAN (Wide Area Network) – это глобальная компьютерная сеть. Проще говоря, это интернет. Если говорить о разъеме WAN, то это разъем на роутере, в который подключается кабель от провайдера. Сетевой кабель, по котором роутер получает доступ в интернет.

Практически на всех роутерах это разъем синего цвета, и выглядит он вот так:

WAN разъем на роутере

На фото выше видно, что разъем даже подписан. Так же, на роутере как правило есть индикатор подключенного кабеля WAN. При нормальной работе, он должен активно мигать. А возле самого индикатора обычно рисуют иконку в виде планеты.

Теперь вы знаете что такое WAN. Давайте еще разберемся, чем он отличается от LAN.

Чем отличается разъем WAN от LAN?

Здесь так же все очень просто. Что такое LAN?

LAN (Local Area Network) — это локальная сеть. Проще говоря, это компьютеры, которые соединены между собой на не очень большом расстоянии. Например, компьютеры, телевизоры, мобильные устройства, которые соединены между собой через маршрутизатор в рамках дома, или офиса. Это и есть локальная сеть.

На роутерах обычно вы можете найти 4 LAN разъема. Они желтого цвета и выглядят вот так:

Отличие LAN от WAN

Служат они для подключения устройств в локальную сеть по сетевому кабелю.

Отличие WAN от LAN в том, что WAN это доступ к интернету, а LAN это локальная сеть, в которую могут быть подключены устройства, которые находятся недалеко друг от друга.

Думаю, что это все, что нужно знать об этих двух обозначениях. Можно конечно же углубиться в технические моменты, заумные определения и т. д., но вряд ли это будет кому-то интересно.

Комментарии

367

Просмотры

615908

Автор

Сергей

Категория

Полезное и интересное

WAN Blocking: What Is It & How to Enable/Disable It

wan blocking enabled or disabled

Have you seen WAN blocking on your router? Do you need an idea of WAN blocking and how to enable or disable it? Well, you have come across a helpful guide cause this guide will tell you all you need to know about WAN blocking.

What does WAN blocking mean?

WAN blocking prevents specific traffic or network connections from entering or out of a device or network. Through the WAN interface, this can be performed using a router or firewall that can block or filter traffic based on specific criteria such as IP address, port number, or protocol.

Furthermore, the primary purpose of WAN blocking is to improve security by preventing unauthorized access or the spread of malicious traffic. Also, it controls internet usage on the web, for example, blocking social media for protection.

Should I disable the WAN port ping for gaming?

Disabling WAN port ping, also known as ICMP (Internet Control Message Protocol) blocking, can provide additional security for your network, but it may not be necessary specifically for gaming.

Disabling WAN port ping can make it more difficult for others to troubleshoot network connectivity issues, such as deciding if a problem is with your system or the network.

Also, some online games or services depend on the ICMP to check the network connection status. Therefore, disabling the ICMP may cause connectivity issues with these games or services.

It’s your decision whether to disable or enable the WAN port ping, but if you have any doubts, consider consulting an IT professional.

WAN block vs LAN block

Blocking within LAN refers to restricting access to services within the local area network. So, it’s the same as the WAN block but for local networks.

ISPs usually employ LAN blocking to restrict access to certain services for the users.

Also, you can read on Xbox error ICMP fix to enjoy your games.

How can I enable or disable WAN blocking?

WAN blocking enabling and disabling on a router

  1. Connect to your router’s web-based management interface by typing its IP address into a web browser.
  2. Enter your login credentials.
  3. Navigate to the Firewall orSecurity settings.
  4. Look for an option related to WAN blocking or WAN access control.
  5. If it is disabled, you can enable it or vice versa.
  6. Save the changes you’ve made and reboot your router.

You should note that the above steps are a general guide, and the process may vary depending on your router. Hence, we recommend you check your router manual or contact the manufacturer for assistance.

Also, our detailed guide on ways to fix problems with wireless routers in Windows will help get your router up and running.

Read more about this topic

  • AI push yields results, Microsoft emerges as a key player against Amazon and Google
  • Rumors claim that Microsoft has closed Bethesda France
  • Blackbird Interactive shares system requirements for Homeworld 3, most PCs should be able to run it
  • Great deal alert: Microsoft Surface Laptop Studio 2 is now available with a $500 discount

In addition, you may check out the guide on checking if the firewall is blocking a port or a program on their computers.

Conclusively, you can leave your comments to tell us if this guide has been helping in enabling or disabling WAN blocking.

Henderson Jayden Harper

Windows Software Expert

Passionate about technology, Crypto, software, Windows, and everything computer-related, he spends most of his time developing new skills and learning more about the tech world. He also enjoys gaming, writing, walking his dog, and reading and learning about new cultures. He also enjoys spending private time connecting with nature.

Henderson Jayden Harper

Windows Software Expert

Passionate about technology, Crypto, software, Windows, and everything computer-related, he spends most of his time developing new skills.

Discover more

Microsoft beats Amazon Web Service

bethesda france shutdown

system requirements for homeworld 3

Great deal alert: Microsoft Surface Laptop Studio 2 is now available with a $500 discount

computer memory bank

xbox game pass overwatch 2 skins

Previewing Microsoft's Q3 earnings: OpenAI boosts its technology aspirations

NVIDIA helps Japan build the ABCI-Q quantum supercomputer

Was this page helpful?

Let us know if you managed to solve your tech problem reading this article.

We’re happy to hear that!

You can subscribe to our newsletter to stay up to date with the latest news and best deals!

Do you have a suggestion?

We know how frustrating could be to look for an universal solution.

If you have an error which is not present in the article, or if you know a better solution, please help us to improve this guide.

Wan blocking что это

После первоначальной настройки роутера Mikrotik его нужно защитить от сканирования и атак из WAN-интерфейса. Это нужно делать обязательно, во избежания неприятностей. Защиту внутри локальной сети тоже нужно производить, но она не так критична, хотя и важна. Сами методы разделю по пунктам.

1) Отключаем учетную запись admin. Создаем новую учетную запись, Имя должно быть не общепринятое, что-бы комбинация логин-пароль служила доп. защитой. Не используйте имена user, guest, admin и другие стандартные. Не используйте пароли 12345, qwerty и тому подобные, а также совпадающие с логином. Пароль должен быть не меньше 8 символов, содержать буквы верхнего и нижнего регистров, цифры и, в идеале, символы.

2) Отключаем ненужные сервисы, все нужные переводим на не стандартные порты! Список не зарезервированных портов можно найти в Википедии: Список портов TCP и UDP. Доступ из-вне отставляем только реально нужным сервисам. Если есть возможность, сервисы ограничиваем по подсетям.

3) Отключаем «поиск соседей». MNDP (Neighbor Discovery Protocol) — протокол, с его помощью роутеры MikroTik получают информацию друг о друге и могут выполнить автоматическую настройку некоторых функций. Однако протокол MNDP передает информацию о версии операционной системы и функции, которые включены в роутере. Отключаем в ip/neighbors поиск на WAN-интерфейсе.

4) Отключаем подключение к роутеру по MAC-адресу из-вне в Tools/MAC Server. На вкладках Telnet Interfaces и WinBox Interfaces добавляем интерфейс LAN, удаляем если есть любые другие интерфейсы и отключаем интерфейс «*all».

Теперь идет настройка непосредственно firewall, правила имеют очередность, поэтому команды выполнять в последовательности. Перед началом работ сделайте бекап. И помните — удаленная настройка фаервола -к выезду!

5) Организовываем ловушку от перебора портов. Грубый метод. В пункте 8 будет представлено более утонченное решение. Но в нашем деле все методы хороши. Теория такова, если злоумышленник будет перебирать открытые порты вашего маршрутизатора, при попадании на определенный порт, этот IP попадет в блек-лист. Порт нужно выбирать осторожно, что бы он нигде в вашей конфигурации не использовался, и был свободен. После того как определились с портом, добавим 2 правила.

/ip firewall filter
add action=add-src-to-address-list address-list=perebor_portov_drop address-list-timeout=30m chain=input comment=Perebor_portov_add_list dst-port=22 in-interface=ether1-velton log=yes log-prefix=Attack protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop in-interface=ether1-velton src-address-list=perebor_portov_drop

Первым правилом при обращении на порт 22 IP добавляем в дроп-лист «perebor_portov_drop». Вторым правилом — баним его. В последнем скриншоте этих правила нет, но они идут в начале списка в /ip firewall filter.
* На «MUM Москва 2016» докладчик рассказывал, что ловит злоумышленников в эту ловушку на популярные порты. Например SSH (22/TCP) или RDP (3389/TCP). Можно еще добавить SIP-порт (5060). Вероятность скана именно этих портов — велика. Если вы их не используете для доступа из-все (что разумно) — смело можно воспользоваться этим методом.

6) Ограничиваем количество ICMP-запросов (делаем защиту от флуд-пинг). Вводим дополнительное правило Drop для отслеживания ICMP Drop. Последнее правило не обязательно — нужно лишь для визуального представления администратору сколько пакетов словилось. Необязательное — потому-как в конце у нас все не разрешенные запросы с WAN — блокируются.

/ip firewall filter
add chain=input comment=Allow_limited_pings in-interface=ether1-velton limit=\
50/5s,2:packet protocol=icmp
add action=drop chain=input comment=Pings_Drop in-interface=ether1-velton \
protocol=icmp

7) Ставим лимит входящих соединений. Если с одного IP адреса подключений больше лимита, то этот IP попадает в «черный список» и в дальнейшем блокируется. Например

/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d

Где LIMIT — максимальное количество соединений в определенного IP. Предел должен быть от 100 и выше, так как многие услуги, используют несколько соединений (HTTP, Torrent, и другие P2P-программы). После того как пакеты добавлены в address-list можно выставить их drop или опцию tarpit. Она позволяет вместо того чтобы просто удалять пакеты атакующего — захватить и удерживать соединения и с достаточно мощным маршрутизатором это может замедлить скорость атаки.

/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit

Но нам такие сложности не к чему, просто добавим правило с лимитом 200 соединений с одного IP и блоком на сутки:

/ip firewall filter
add action=add-dst-to-address-list address-list=connection-limit \
address-list-timeout=1d chain=input comment=Connection_limit \
connection-limit=200,32 in-interface=ether1-velton protocol=tcp
add action=drop chain=input comment=Adr_list_connection-limit_drop \
in-interface=ether1-velton src-address-list=connection-limit

8) Включаем защиту от сканеров портов на WAN-интерфейсе:

/ip firewall filter
add action=drop chain=input comment=Port_scanner_drop src-address-list=\
«port scanners»
add action=add-src-to-address-list address-list=»port scanners» \
address-list-timeout=2w chain=input in-interface=ether1-velton protocol=\
tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=»port scanners» \
address-list-timeout=2w chain=input in-interface=ether1-velton protocol=\
tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=»port scanners» \
address-list-timeout=2w chain=input in-interface=ether1-velton protocol=\
tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=»port scanners» \
address-list-timeout=2w chain=input in-interface=ether1-velton protocol=\
tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=»port scanners» \
address-list-timeout=2w chain=input in-interface=ether1-velton protocol=\
tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=»port scanners» \
address-list-timeout=2w chain=input in-interface=ether1-velton protocol=\
tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=»port scanners» \
address-list-timeout=2w chain=input in-interface=ether1-velton protocol=\
tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

9) Защищаем от перебора паролей подключения по нестандартному порту к WinBox и SSH из вне. Комментарии читать снизу-вверх.

/ip firewall filter
# все IP в black_list — отклоняем
add action=drop chain=input comment=Drop_winbox_black_list dst-port=5323,5324 \
in-interface=ether1-velton protocol=tcp src-address-list=black_list
# если новые подключения с адрес-листа Winbox_Ssh_stage3 продолжаются — заносим в новый адрес-лист black_list на 5 минут.
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=5m chain=input comment=Winbox_add_black_list \
connection-state=new dst-port=5323,5324 in-interface=ether1-velton \
protocol=tcp src-address-list=Winbox_Ssh_stage3
# если новые подключения с адрес-листа Winbox_Ssh_stage2 продолжаются — заносим в новый адрес-лист Winbox_Ssh_stage3
add action=add-src-to-address-list address-list=Winbox_Ssh_stage3 \
address-list-timeout=1m chain=input comment=Winbox_Ssh_stage3 \
connection-state=new dst-port=5323,5324 in-interface=ether1-velton \
protocol=tcp src-address-list=Winbox_Ssh_stage2
# если новые(значит была неудачная попытка, например — неправильный пароль, и соединение разорвалось) подключения с адрес-листа Winbox_Ssh_stage1 продолжаются — заносим в новый адрес-лист Winbox_Ssh_stage2
add action=add-src-to-address-list address-list=Winbox_Ssh_stage2 \
address-list-timeout=1m chain=input comment=Winbox_Ssh_stage2 \
connection-state=new dst-port=5323,5324 in-interface=ether1-velton \
protocol=tcp src-address-list=Winbox_Ssh_stage1
# заносим все айпи, которые создали новые подключения на наши порты в адрес-лист на 1 минуту
add action=add-src-to-address-list address-list=Winbox_Ssh_stage1 \
address-list-timeout=1m chain=input comment=Winbox_Ssh_stage1 \
connection-state=new dst-port=5323,5324 in-interface=ether1-velton \
protocol=tcp
# разрешаем подключение к Winbox и Ssh по портам 5323 и 5324
add chain=input comment=Accept_Winbox_Ssh dst-port=5323,5324 in-interface=\
ether1-velton protocol=tcp

10) Блокируем bogon-сети. Это зарезервированные диапазоны IP адресов которые еще не были закреплены ни за одним провайдером в мире. Это свободные/пустые диапазоны. Частные сети прячутся от интернета средствами компании или провайдером. Поэтому если к вам вдруг прилетает пакет с сорсом из этих списков, ничего хорошего он принести не может. Bogon IP часто используют злые хакеры для своих вредоносных атак. Актуальный список сетей можно посмотреть тут: http://www.team-cymru.org/Services/Bogons/bogon-bn-nonagg.txt.

/ip firewall address-list
add address=0.0.0.0/8 disabled=no list=BOGON
add address=10.0.0.0/8 disabled=no list=BOGON
add address=100.64.0.0/10 disabled=no list=BOGON
add address=127.0.0.0/8 disabled=no list=BOGON
add address=169.254.0.0/16 disabled=no list=BOGON
add address=172.16.0.0/12 disabled=no list=BOGON
add address=192.0.0.0/24 disabled=no list=BOGON
add address=192.0.2.0/24 disabled=no list=BOGON
add address=192.168.0.0/16 disabled=no list=BOGON
add address=198.18.0.0/15 disabled=no list=BOGON
add address=198.51.100.0/24 disabled=no list=BOGON
add address=203.0.113.0/24 disabled=no list=BOGON
add address=224.0.0.0/4 disabled=no list=BOGON
add address=240.0.0.0/4 disabled=no list=BOGON

Само запрещающее правило:

/ip firewall filter
add action=drop chain=input comment=Bogon_Wan_Drop in-interface=ether1-velton \
src-address-list=BOGON

11) Разрешаем все уже установленные подключения (connection state=established). Established — Существующее соединение. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.

add chain=input comment=Established_Wan_Accept connection-state=established

12) Разрешаем все зависимые подключения (connection state=related). Related – Связанное соединение. Пакет, который связан с существующим соединением, но не является его частью. Например, пакет, который начинает соединение передачи данных в FTP-сессии (он будет связан с управляющим соединением FTP), или пакет ICMP, содержащий ошибку, отправляемый в ответ на другое соединение.

add chain=input comment=Related_Wan_Accept connection-state=related

13) Блокируем все входящие соединения с WAN.

add action=drop chain=input comment=Drop_all_WAN in-interface=ether1-velton

——————-
Визуально последовательность правил выглядит так:

Это минимальная настройка безопасности. Если вы хотите разрешить подключение VPN к роутеру, то как минимум нужно открыть порт. Например, для соединений по порту 1723 (PPTP):

/ip firewall filter
add chain=input dst-port=1723 protocol=tcp

Так же рекомендую использовать скрипт Оповещение администратора о входе в Mikrotik. Метод защиты сервисов, на которые проброшенные порты с Mikrotik описан в статье тут.
——————-

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *