Posted by Замечание! Информация устарела. Усовершенствованный подход можно посмотреть тут: Mikrotik. Защищаем RDP от брутфорса
Замучили меня брутфорсеры…. В секунду идёт по 3-4 попытки подбора паролей к Терминальному серверу.
И тут!!! Вдруг!!! Я вспомнил, что у меня же МикроТик стоит!!!!
А тут вот хорошая идея есть: https://wiki.mikrotik.com/wiki/Bruteforce_login_preve..
Короче, задал я перцу брутфорсерам сначала так:
/ip firewall filter
add action=drop chain=forward comment=»Drop RDP brute forcers» dst-port=3389 \
protocol=tcp src-address-list=rdp_blacklistadd action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1h chain=forward comment=»If there were 6 attempts to\
\_connect, we block for 1 hour. (Two new packages per connection attempt)» \
connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage6add action=add-src-to-address-list address-list=rdp_stage6 \
address-list-timeout=1m chain=forward comment=»Sixth connection attempt» \
connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage5add action=add-src-to-address-list address-list=rdp_stage5 \
address-list-timeout=1m chain=forward comment=»Fifth connection attempt» \
connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage4add action=add-src-to-address-list address-list=rdp_stage4 \
address-list-timeout=1m chain=forward comment=»Fourth connection attempt» \
connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage3add action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m chain=forward comment=»Third connection attempt» \
connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage2add action=add-src-to-address-list address-list=rdp_stage2 \
address-list-timeout=1m chain=forward comment=»Second connection attempt» \
connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage1add action=add-src-to-address-list address-list=rdp_stage1 \
address-list-timeout=1m chain=forward comment=»First connection attempt» \
connection-state=new dst-port=3389 protocol=tcp
А потом подумал, и сделал вариант покороче:
/ip firewall filter
add action=jump chain=forward comment=\
«Go into the chain for detecting Bruteforcers» connection-state=new \
dst-port=3389 jump-target=BruteForcersDetect protocol=tcpadd action=accept chain=BruteForcersDetect comment=\
«Accept 10 new connections that occurred within 1 minute» dst-limit=\
1/1m,9,dst-address/1madd action=drop chain=BruteForcersDetect comment=»Drop Bruteforcers» \
src-address-list=BruteForcersadd action=add-src-to-address-list address-list=BruteForcers \
address-list-timeout=15m chain=BruteForcersDetect comment=\
«Adding an address to the list of Bruteforcers»add action=return chain=BruteForcersDetect comment=»End of chain and return.»
Второй вариант хоть и короче, но позволит при необходимости легко изменять количество попыток подбора паролей и пропускать запросы с адресов из «белого списка».
Ура!!!
PS.
!!! В новости есть несколько ошибок и недочётов, но общее направление «куда копать» указано верно !!!