Shiirx
06-11-2021, 11:14
Сломал уже всю голову, не понимаю, куда копать....
Есть Два правила:
1) Определяем сканирование портов и добавляем адрес в Чёрный список если он не из белого списка
/ip firewall filter
add action=add-src-to-address-list address-list=BlackList address-list-timeout=2w1d chain=input \
comment=SCAN_PORT dst-port=21,22,23,3389 in-interface=PPPoE protocol=tcp \
src-address-list=!WhiteList
Всё работает, всё замечательно.
2) Если всё же наш RDP нашли, то смотрим количество подключений, с каждым новым подключением добавляем в список выше и в конце добавляем в Чёрный список.
/ip firewall filter
add action=add-src-to-address-list address-list=RDPBrute1 address-list-timeout=2m chain=input \
connection-state=new dst-port=44489 in-interface=PPPoE protocol=tcp \
src-address-list=!WhiteLis
Вот это правило не работает, по чему не понятно, я подключаюсь по порту и в список не попадаю, проверял с IP которого нет в белом списке. Есть идеи, как решить?
Есть Два правила:
1) Определяем сканирование портов и добавляем адрес в Чёрный список если он не из белого списка
/ip firewall filter
add action=add-src-to-address-list address-list=BlackList address-list-timeout=2w1d chain=input \
comment=SCAN_PORT dst-port=21,22,23,3389 in-interface=PPPoE protocol=tcp \
src-address-list=!WhiteList
Всё работает, всё замечательно.
2) Если всё же наш RDP нашли, то смотрим количество подключений, с каждым новым подключением добавляем в список выше и в конце добавляем в Чёрный список.
/ip firewall filter
add action=add-src-to-address-list address-list=RDPBrute1 address-list-timeout=2m chain=input \
connection-state=new dst-port=44489 in-interface=PPPoE protocol=tcp \
src-address-list=!WhiteLis
Вот это правило не работает, по чему не понятно, я подключаюсь по порту и в список не попадаю, проверял с IP которого нет в белом списке. Есть идеи, как решить?