Mikrotik input: in:ether1 out:(unknown 0), src-mac blockieren

Hallo zusammen,

ich habe meinem Mikrotik Router zum SSTP VPN Server gemacht. Dies habe ich schon einige Zeit so am Laufen.

Nun habe ich aber immer mal wieder nette Mitmenschen, welche scheinbar den Port abscannen.

input: in:ether1 out:( face-sadunknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.89:33445->xxx.xxx.xxx.xxx:443, len 44
input: in:ether1 out:( face-sadunknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.89:17917->xxx.xxx.xxx.xxx::443, len 44
input: in:ether1 out:( face-sadunknown 0), src-mac MACADRESSE, proto TCP (SYN), X98.187.28.105:22299->xxx.xxx.xxx.xxx::443, len 44
input: in:ether1 out:( face-sadunknown 0), src-mac MACADRESSE, proto TCP (SYN), X62.0.227.31:57914->xxx.xxx.xxx.xxx443, len 44
input: in:ether1 out:( face-sadunknown 0), src-mac MACADRESSE proto TCP (SYN), X5.232.11.136:40667->xxx.xxx.xxx.xxx:443, len 44


Kann ich hier irgendwie eine Firewallregel bauen, welche bei genau dem Event die IP Adresse blockt ? Reicht denk ich auch auf Zeit.
Das ist immer so im 2-3 Sekunden Takt. Wenn man die IP anhand der Geodaten bestimmt kommt Bulgarien oder sonst was raus.
GeoIP Blocking kann die Mikrotik leider ja nicht nativ.

Momentan drop ich halt manuell die IPs. Ist auch noch übersichtlich, aber wer weiß, ob da nicht irgendwann mehr dazu kommen.

Mit freundlichen Grüßen
Xerver

Content-Key: 666494

Url: https://administrator.de/contentid/666494

Ausgedruckt am: 17.06.2021 um 20:06 Uhr

Mitglied: 148121
148121 aktualisiert am 07.05.2021
Moin.
Nun habe ich aber immer mal wieder nette Mitmenschen, welche scheinbar den Port abscannen.
Das ist normales Internet-Grundrauschen. Wenn du das nicht willst oder dich stört musst du das Internet-Kabel ziehen.
SYN Pakete von neuen Verbindungen kannst du nicht so einfach blocken denn dann kommen deine VPN-Clients ja auch keine Verbindung mehr hin denn ein SYN-Paket ist das Initial-Paket einer neuen TCP Verbindung.
Willst du dagegen ein DDOS oder SYN-Flood verhindern dann siehe:
SYN/DoS/DDoS Protection
Da hat der Mikrotik schon entsprechende Syn-Cookie Funktionalität.
GeoIP Blocking kann die Mikrotik leider ja nicht nativ.
Aber leicht nachzubauen, der Mikrotik ist ja flexibel mit Skripten erweiterbar indem du dir die Geo-Listen aus dem Netz ziehst z.B. von hier http://www.ipdeny.com/ipblocks/data/aggregated/ (geht per Mikrotik-Skript /tool fetch) und damit dann eine Firewall-AddressList füllst. Dann brauchst du nur noch eine Firewall-Regel ala
Gruß w.
Heiß diskutierte Beiträge
Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 12 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...

Netzwerke
Internetprobleme seit Serverinstallation
beepboopVor 5 StundenFrageNetzwerke13 Kommentare

Guten Tag zusammen Bei einem Kunden habe ich ein sehr merkwürdiges Problem. Wir haben vor zwei Wochen einen Server beim Kunden installiert. Vorher waren nur ...

Sonstige Systeme
Womit ist eine Nextcloud am Besten zu betreiben. Linux-PC oder RaspiPI
gelöst frosch2Vor 7 StundenFrageSonstige Systeme15 Kommentare

Hallo, wieder einmal möchte ich eure Meinungen. Es soll eine nextcloud in einer produktiven Umgebung eingesetzt werden. Ca. 6 Aussendienst- und 7 Innendienstmitarbeiter. Zusammen 13 ...