+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Защити роутер от атак.

Защити роутер от атак., RouterOS

shielder

Guest

04.03.2006 15:45:00

Привет, в последнее время через мой микротик роутер проходит куча ненужных пакетов. Я выяснил, что большая часть из них — ICMP пакеты (от 2 до 12 кбит/с), поэтому решил заблокировать целевой IP-адрес. Есть ли какие-нибудь способы защитить наш роутер от такого рода “атак”? Или, может, кто-то захочет поделиться своим опытом в борьбе с “атаками” извне, чтобы мы все могли это обсудить. С уважением, Lim #mikrotik #security #router #icmp

Gotmoh Guest	#2 0 05.03.2006 11:00:00 Просто блокируй ICMP-пакеты с определенных источников. Можно использовать списки адресов, чтобы пропускать только запросы из разрешенных мест.

mag Guest	#3 0 05.03.2006 13:56:00 Не блокируйте ICMP полностью, например, MTU-Path Discovery работает на базе ICMP. В демо-системе есть несколько правил, касающихся ICMP.

oriondotnet Guest	#4 0 05.03.2006 14:29:00 Может кто-нибудь подсказать, как блокировать атаку IMCP?

vklimovs

Guest

05.03.2006 16:25:00

/ip firewall filter
add chain=input connection-state=invalid action=drop comment="отбрасывать невалидные подключения" disabled=no
add chain=input protocol=tcp psd=10,3s,3,1 action=drop comment="отбрасывать возможные сканы портов" disabled=no
add chain=input protocol=udp dst-port=137-139 action=drop comment="блокировать сервисы NETBIOS" disabled=no
add chain=input protocol=udp dst-port=161 action=accept comment="разрешать подключения SNMP" disabled=no
add chain=input protocol=tcp dst-port=2000 action=accept comment="разрешать подключения для проверки скорости TCP" disabled=no
add chain=input protocol=udp action=accept comment="разрешать протокол UDP" disabled=no
add chain=input protocol=tcp dst-port=21 action=accept comment="разрешать доступ FTP" disabled=no
add chain=input protocol=tcp dst-port=22 action=accept comment="разрешать доступ SSH" disabled=no
add chain=input protocol=tcp dst-port=80 action=accept comment="разрешать доступ HTTP" disabled=no
add chain=input protocol=tcp dst-port=8291 action=accept comment="разрешать доступ Winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="разрешать доступ PPTP" disabled=no
add chain=input connection-state=established action=accept comment="разрешать установленные подключения" disabled=no
add chain=input connection-state=related action=accept comment="разрешать связанные подключения" disabled=no
add chain=input protocol=icmp icmp-options=8:0 action=accept comment="разрешать ICMP echo request" disabled=no
add chain=forward in-interface=Local out-interface=Global action=drop comment="" disabled=no
add chain=input protocol=icmp icmp-options=3:4 action=accept comment="разрешать ICMP Fragmentation Needed" disabled=no
add chain=input action=log log-prefix="" comment="логировать всё остальное" disabled=yes
add chain=input action=drop comment="отбрасывать всё остальное" disabled=yes

Обратите внимание, что вам всё равно нужно включить последние правила, чтобы они заработали. Я выключил их из-за соображений безопасности. Разумеется, вы можете заменить цепочку input на любую другую, включая forward. Если вы не используете какие-то сервисы, например SNMP или PPTP, просто отключите или даже удалите соответствующие правила.

mag Guest	#6 0 05.03.2006 17:42:00 http://demo.mt.lv/

sten Guest	#7 0 06.03.2006 10:55:00 Обычно это не атака, но если их проанализируешь, обнаружишь проблемы в своей сети, о которых даже не подозревал.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры