Dobrý den,
Mám veřejnou IP, která je poskytovatelem nasměrovaná na můj Mikrotik. Používám to pro přístup zvenku k určitým zařízením a službám, které běží na různých portech v rámci vnitřní LAN. Na routeru pak je přesměrování a NAT.
Přemýšlím o tom, jak zatočit (opravdu účinně) se všemi skenovači, zkoušeči hesel a dalšími šmejdy, co mi tam neustále dorážejí. Takové ty návody na různé chytré blacklisty, co jsou na internetu na port scan, syn flood atd. úplně dokonale nefungují, vždycky je potřeba tam nastavit nějaký limit počtu připojení, času atd. a i přes to vždycky něco projde. Povolení přístupu z jedné WAN, to také moc neřeší, zvlášť když chci přistupovat z více míst, nebo např. i přes data od mobilního operátora, který IP pořád mění.
Proto přemýšlím, jak všechny ty polofunkční pravidla nahradit jedním a opravdu rázným. Porty na které se potřebuji připojovat jsou až někde v rozsahu 26xxx tedy hodně vysoké. Říkám si, že bych udělal pravidlo s negací (!) těchto portů a všechno ostatní by se hodilo do blacklistu, pod to hned pravidlo drop z toho blacklistu a stejný drop i do RAW tabulky. Uvažuji tak, že nějaký šmejd zkusí jeden (jakýkoliv) port mimo ty definované, hned ho to zapíše na blacklist, pravidlo pod tím to hned z toho blaclistu dropne a pokud by si nedal pokoj a zkusil jiný port, tak ho to z blaclistu, kde už je zapsán zabije hned v té RAW a ani se nedostane do stromečku s pravidly.
Na blacklistu by byl třeba tři dny.... více asi nemá cenu i s ohledem na přeplnění toho blacklistu.
Mělo by to zlikvidovat všechno a všechny útoky, jakmile to jednou zkusí, tak konec.... jedině, že by se trefil zrovna hned napoprvé do toho definovaného NATovaného portu. To je ale velká nepravděpodobnost. Musel by hned napoprvé zkusit třeba 26438, ale jakmile by zkusil třeba druhý o jednotku vedle, stejně by ho to zabilo.
Jediné riziko pro mě, že se uklepnu a sám se zkusím připojit na špatný port, potom by to hodilo na blacklist i mě...ale toto riziko jsem ochotný podstoupit:-)
Já sám si myslím, že toto by mohlo být opravdu účinné a nahradilo by to všechna ostatní pravidla a všechny ty návody s limity vč. např. defaultního pravidla Mikrotiku, kde s příznakem input dropoval pod estabilished všechno co není LAN.
Otázka je, jestli mohu zakázat opravdu všechny porty? Nejspíše by se to pravidlo pak muselo dát až pod estabilished, related... a pokud by se dalo nahoru, jaké porty bych tam měl ještě povolit? 123 UDP na čas? a co nějaké aktualizace Mikrotiku? Abych mu je tím také nezaříznul? Zvenku na administraci Mikrotiku chodit nemusím. To dělám třeba přes vzdálenou plochu z místní LAN.
Děkuji moc