1
Mikrotik input: in:ether1 out:(unknown 0), src-mac blockieren
Hallo zusammen,
ich habe meinem Mikrotik Router zum SSTP VPN Server gemacht. Dies habe ich schon einige Zeit so am Laufen.
Nun habe ich aber immer mal wieder nette Mitmenschen, welche scheinbar den Port abscannen.
input: in:ether1 out
unknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.89:33445->xxx.xxx.xxx.xxx:443, len 44
input: in:ether1 outunknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.89:17917->xxx.xxx.xxx.xxx::443, len 44
input: in:ether1 outunknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.105:22299->xxx.xxx.xxx.xxx::443, len 44
input: in:ether1 outunknown 0), src-mac MACADRESSE, proto TCP (SYN), X62.0.227.31:57914->xxx.xxx.xxx.xxx443, len 44
input: in:ether1 outunknown 0), src-mac MACADRESSE proto TCP (SYN), X5.232.11.136:40667->xxx.xxx.xxx.xxx:443, len 44
Kann ich hier irgendwie eine Firewallregel bauen, welche bei genau dem Event die IP Adresse blockt ? Reicht denk ich auch auf Zeit.
Das ist immer so im 2-3 Sekunden Takt. Wenn man die IP anhand der Geodaten bestimmt kommt Bulgarien oder sonst was raus.
GeoIP Blocking kann die Mikrotik leider ja nicht nativ.
Momentan drop ich halt manuell die IPs. Ist auch noch übersichtlich, aber wer weiß, ob da nicht irgendwann mehr dazu kommen.
Mit freundlichen Grüßen
Xerver
ich habe meinem Mikrotik Router zum SSTP VPN Server gemacht. Dies habe ich schon einige Zeit so am Laufen.
Nun habe ich aber immer mal wieder nette Mitmenschen, welche scheinbar den Port abscannen.
input: in:ether1 out
unknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.89:33445->xxx.xxx.xxx.xxx:443, len 44input: in:ether1 out
unknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.89:17917->xxx.xxx.xxx.xxx::443, len 44input: in:ether1 out
unknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.105:22299->xxx.xxx.xxx.xxx::443, len 44input: in:ether1 out
unknown 0), src-mac MACADRESSE, proto TCP (SYN), X62.0.227.31:57914->xxx.xxx.xxx.xxx443, len 44input: in:ether1 out
unknown 0), src-mac MACADRESSE proto TCP (SYN), X5.232.11.136:40667->xxx.xxx.xxx.xxx:443, len 44Kann ich hier irgendwie eine Firewallregel bauen, welche bei genau dem Event die IP Adresse blockt ? Reicht denk ich auch auf Zeit.
Das ist immer so im 2-3 Sekunden Takt. Wenn man die IP anhand der Geodaten bestimmt kommt Bulgarien oder sonst was raus.
GeoIP Blocking kann die Mikrotik leider ja nicht nativ.
Momentan drop ich halt manuell die IPs. Ist auch noch übersichtlich, aber wer weiß, ob da nicht irgendwann mehr dazu kommen.
Mit freundlichen Grüßen
Xerver
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666494
Url: https://administrator.de/contentid/666494
Printed on: April 19, 2024 at 21:04 o'clock
1 Comment
Moin.
SYN Pakete von neuen Verbindungen kannst du nicht so einfach blocken denn dann kommen deine VPN-Clients ja auch keine Verbindung mehr hin denn ein SYN-Paket ist das Initial-Paket einer neuen TCP Verbindung.
Willst du dagegen ein DDOS oder SYN-Flood verhindern dann siehe:
SYN/DoS/DDoS Protection
Da hat der Mikrotik schon entsprechende Syn-Cookie Funktionalität.
Gruß w.
Nun habe ich aber immer mal wieder nette Mitmenschen, welche scheinbar den Port abscannen.
Das ist normales Internet-Grundrauschen. Wenn du das nicht willst oder dich stört musst du das Internet-Kabel ziehen.SYN Pakete von neuen Verbindungen kannst du nicht so einfach blocken denn dann kommen deine VPN-Clients ja auch keine Verbindung mehr hin denn ein SYN-Paket ist das Initial-Paket einer neuen TCP Verbindung.
Willst du dagegen ein DDOS oder SYN-Flood verhindern dann siehe:
SYN/DoS/DDoS Protection
Da hat der Mikrotik schon entsprechende Syn-Cookie Funktionalität.
/ip settings set tcp-syncookies=yesGeoIP Blocking kann die Mikrotik leider ja nicht nativ.
Aber leicht nachzubauen, der Mikrotik ist ja flexibel mit Skripten erweiterbar indem du dir die Geo-Listen aus dem Netz ziehst z.B. von hier http://www.ipdeny.com/ipblocks/data/aggregated/ (geht per Mikrotik-Skript /tool fetch) und damit dann eine Firewall-AddressList füllst. Dann brauchst du nur noch eine Firewall-Regel ala/ip firewall filter add chain=input address-list=geoblock action=drop disabled=no
