xerver
06.05.2021
view5752
view1
0
Goto Top

Mikrotik input: in:ether1 out:(unknown 0), src-mac blockieren

FrageSonstige SystemeMikroTik
Hallo zusammen,

ich habe meinem Mikrotik Router zum SSTP VPN Server gemacht. Dies habe ich schon einige Zeit so am Laufen.

Nun habe ich aber immer mal wieder nette Mitmenschen, welche scheinbar den Port abscannen.

input: in:ether1 outface-sadunknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.89:33445->xxx.xxx.xxx.xxx:443, len 44
input: in:ether1 outface-sadunknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.89:17917->xxx.xxx.xxx.xxx::443, len 44
input: in:ether1 outface-sadunknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.105:22299->xxx.xxx.xxx.xxx::443, len 44
input: in:ether1 outface-sadunknown 0), src-mac MACADRESSE, proto TCP (SYN), X62.0.227.31:57914->xxx.xxx.xxx.xxx443, len 44
input: in:ether1 outface-sadunknown 0), src-mac MACADRESSE proto TCP (SYN), X5.232.11.136:40667->xxx.xxx.xxx.xxx:443, len 44


Kann ich hier irgendwie eine Firewallregel bauen, welche bei genau dem Event die IP Adresse blockt ? Reicht denk ich auch auf Zeit.
Das ist immer so im 2-3 Sekunden Takt. Wenn man die IP anhand der Geodaten bestimmt kommt Bulgarien oder sonst was raus.
GeoIP Blocking kann die Mikrotik leider ja nicht nativ.

Momentan drop ich halt manuell die IPs. Ist auch noch übersichtlich, aber wer weiß, ob da nicht irgendwann mehr dazu kommen.

Mit freundlichen Grüßen
Xerver
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 666494

Url: https://administrator.de/contentid/666494

Ausgedruckt am: 17.11.2024 um 11:11 Uhr

1 Kommentar
Goto Top
148121
148121 07.05.2021 aktualisiert um 11:15:35 Uhr
Goto Top
Moin.
Nun habe ich aber immer mal wieder nette Mitmenschen, welche scheinbar den Port abscannen.
Das ist normales Internet-Grundrauschen. Wenn du das nicht willst oder dich stört musst du das Internet-Kabel ziehen.
SYN Pakete von neuen Verbindungen kannst du nicht so einfach blocken denn dann kommen deine VPN-Clients ja auch keine Verbindung mehr hin denn ein SYN-Paket ist das Initial-Paket einer neuen TCP Verbindung.
Willst du dagegen ein DDOS oder SYN-Flood verhindern dann siehe:
SYN/DoS/DDoS Protection
Da hat der Mikrotik schon entsprechende Syn-Cookie Funktionalität.
/ip settings set tcp-syncookies=yes
GeoIP Blocking kann die Mikrotik leider ja nicht nativ.
Aber leicht nachzubauen, der Mikrotik ist ja flexibel mit Skripten erweiterbar indem du dir die Geo-Listen aus dem Netz ziehst z.B. von hier http://www.ipdeny.com/ipblocks/data/aggregated/ (geht per Mikrotik-Skript /tool fetch) und damit dann eine Firewall-AddressList füllst. Dann brauchst du nur noch eine Firewall-Regel ala
/ip firewall filter add chain=input address-list=geoblock action=drop disabled=no
Gruß w.
FrageSonstige SystemeMikroTik
Mehr von XerverXerverMischbetrieb Office 365 (Exchange online) und Strato und SPF DNS EintragXerver - 2 KommentareXerverWindows XP Home Edition in VM lässt sich nach Konvertieren nicht aktivierenXerver - 12 KommentareXerverSoftware SAN für VirtualisierungXerver - 2 KommentareXerverSoftware und LizenzdatenbankXerver - 2 Kommentare
Heiß diskutiert
Roland567VMware - Broadcom und neue PreiseRoland567 - 38 KommentareFohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 Kommentareseppo1Switche KMUseppo1 - 28 KommentarecseLaufwege erfassen in großer Hallecse - 20 KommentaredenfinHeimnetzwerk Probleme und Fragen (VPN, IPv6, Telekom Speed Port)denfin - 18 KommentareBlackmannZwang zur TelefonnummernbereitstellungBlackmann - 16 Kommentaremorpheus2010De Domain für Mailadressen wie sicher ist der WHOISmorpheus2010 - 16 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareDSchmolkePasswort ändern in der Domäne geht nichtDSchmolke - 12 KommentareFrontierAbsicherung eines privaten GastnetzesFrontier - 12 KommentareDSchmolkeReset-ComputerMachinePassword LapsDSchmolke - 12 Kommentare