Mikrotik как забанить ip адрес

Заблокировать IP адрес на Mikrotik

У нас CloudCore CCR-1036 12G 4S, насколько я понимаю это не сильно важно. Главное что роутер.

Так вот, есть необходимость добавить в фаервол правило на фильтр, чтобы конкретный IP не мог ходить на 80й порт. Вроде берем в фильтрах пишем Src. Addres указываем, протокол TCP, порт 80, action drop.

Но правило не работает и трафика по нему нет.

Что странно, во вкладке Connections не отображаются сессии с этого IP, хотя он точно соединяется.

В общем ничего не пойму.

Mikrotik блокировка интернета

Блокировка полного доступа в интернет с помощью правил Firewall Mikrotik.

Создаем новое правило для Firewall, в Chain указываем forward, а в Scr.Address указываем нужный ip адрес компьютера в сети. На вкладке Action задаем Drop.

В итоге на заданном ip адресе будет отсутствовать интернет.

Добавить комментарий Отменить ответ

Нажимая кнопку Отправить комментарий Я даю согласие на обработку персональных данных.

Mikrotik как забанить ip адрес

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Блокировка IP-адресов которые стучатся на Mikrotik

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Andrey.Skachkov Сообщения: 6 Зарегистрирован: 09 июл 2020, 11:17

Всех приветствую, имеется железка Mikrotik CCR1016-12G r.2.
Первоначально когда настраивался конфиг, специально сделали что к winbox можно подключиться только из локальной сети. В течении полгода было всего несколько попыток подключиться, а в последней месяц началось.
За сутки может быть от 100 до 200 попыток подключения.
Может есть какой скрипт чтобы, например, IP=XXX.XXX.XXX.XXX при попытке подключения в течении 3 раз добавлялся в чёрный список или как то вручную можно создать правило?
p.s. на скрине видно что именно пытаются подключиться несколько раз, а не случайно

Erik_U Сообщения: 1654 Зарегистрирован: 09 июл 2014, 12:33

Если есть неудачные попытки, значит:
— в фаерволе подключения из интернета разрешены?
— в IP/Services поле Available From для www и winbox не заполнено?

Vlad-2 Модератор Сообщения: 2531 Зарегистрирован: 08 апр 2016, 19:19 Откуда: Петропавловск-Камчатский (п-ов Камчатка) Контактная информация:

09 июл 2020, 11:28

Первоначально когда настраивался конфиг, специально сделали что к winbox можно подключиться только из локальной сети. В течении полгода было всего несколько попыток подключиться, а в последней месяц началось.

Правильно ли я Вас понимаю, что потом, — Вы разрешили винбокс наружу?

Ну и в целом в рамках Вашего вопроса:
Я сделал (давно) так:
а) сети городские (всех наших провайдеров) описал в отдельный лист, и с него
можно подключиться.
б) потом есть лист доверенных, туда можно временно-динамично кого-то прописать,
чтобы зайти могли с любой точки мира
в) остальным = доступ закрыт.
Это всё делается файрволом.

В Вашем случаи я бы пока вернул наверно режим только — локальной сети.

На счёт скриптов — тут подсказать не могу, стандартный файрвол может
помещать атакующих сразу в адрес-лист и потом естественно, уже
при последующих запросов с этих же адресов = сразу будет отказ.
(опять же — это всё делается файрволом (правилами))

На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE

Andrey.Skachkov Сообщения: 6 Зарегистрирован: 09 июл 2020, 11:17
09 июл 2020, 11:36

— да, разрешены, но с ограничениями
— IP/Services поле Available From
для winbox 192.168.0.0/16
для www не заполнено (но изменён порт на отличный от 80го)

Andrey.Skachkov Сообщения: 6 Зарегистрирован: 09 июл 2020, 11:17
09 июл 2020, 11:59
09 июл 2020, 11:28

Правильно ли я Вас понимаю, что потом, — Вы разрешили винбокс наружу?

В Вашем случаи я бы пока вернул наверно режим только — локальной сети.

Winbox доступен только в локальной сети 192.168.0.0/16
Можете подсказать как в Firewall помещать атакующий в address-list и потом при повторных попытках с этих адресов = сразу в Black-List?

Erik_U Сообщения: 1654 Зарегистрирован: 09 июл 2014, 12:33
09 июл 2020, 12:34
09 июл 2020, 11:36

1. Обычно в фаерволе такая конструкция. Разрешается ворвард из интернета на конкретные хосты, но это не микротик. Потом разрешается вход на микротик на конкретные порты, но это не www и winbox. Потом разрешается натированный выход и ответ на запросы из натированной сети. А потом запрещается все остальное. И форвард, и инпут и оутпут.
Если у вас фаервол разрешает инпут на порты www и winbox, а вам этого не нужно, исправьте это. Уберите разрешение. Или добавьте запрещение входа на порты www и winbox из внешних сетей, и поднимите это правило повыше в списке.
Я советую сделать запрет входа на порты www и winbox отовсюду (и снаружи и изнутри), кроме одного адрес-листа. А в этот адрес-лист добавьте локальную сеть, и выделенные внешние IP, с которых хотите иметь доступ.
Зачем создавать сложную конструкцию с добавлением в адрес-лист для того, чтобы тот же фаервол отработал запрет по адреслисту, если можно настроить его работу проще и надежней?
2. Заполните для www. Зачем вам поднятый сервис на интерфейсе, который вы хотите исключить?

1) Erik_U прав, я выскажу кратко: если сервис не нужен на внешнем адресе,
надо явно значит запретить. В линуксе местами было проще, в некоторых
хорошо развитых сервисах явно можно было указать на каком интерфейсе
работать. Поэтому ограничьте или запретите снаружи всё лишнее

2) не совсем понимаю зачем Вам на CCR’е порт 80 .

3) Вы просили, привожу (как пример) правила, как я отсекаю на роутере заходы по 53 порту,
а если такое обращение было, адрес помещает в адрес-лист и в течении суток, этому адресу
вообще на роутер потом нельзя обратиться. На роутере сразу несколько внешних адресов,
для удобства они объединены в один интерфейс-лист (list1-WANs-iface)
а) сначала идёт проверка адреса из списка и если есть, то пакет дропается.
б) потом идёт правила jump для анализа порта (в примере — ДНС, порт- 53).
в) потом идёт сбор адресов в адрес-лист (в один) (помечаем айпи на 24 часа).
г) дропаем текущие запросы.
Так как я люблю (и для красоты) разделять TCP и UDP, все правила у меня по два идут.
(но адрес лист один, и первое правило тоже одно).

Простенько, зато эффективно. Правила со временем переместил в таблицу RAW — данные
по этим правилам не нужны мне, поэтому такие запросы не будут попадать в Connection
таблицу, а значит экономим ресурсы роутера (но учтите, она (таблица RAW) раньше отрабатывается).

/ip firewall raw add action=drop chain=prerouting comment="Droping IP (from Attack list) who attacked us in the last 24 hours" src-address-list=Attacks-from-WANs add action=jump chain=prerouting comment="Analysis 53 TCP-ports (DNS)" dst-port=53 in-interface-list=list1-WANs-iface jump-target=DNS_DROP_TCP_RAW protocol=tcp add action=jump chain=prerouting comment="Analysis 53 UDP-ports (DNS)" dst-port=53 in-interface-list=list1-WANs-iface jump-target=DNS_DROP_UDP_RAW protocol=udp add action=add-src-to-address-list address-list=Attacks-from-WANs address-list-timeout=1d chain=DNS_DROP_TCP_RAW comment="Creation AddList of IP addresses of attackers" add action=add-src-to-address-list address-list=Attacks-from-WANs address-list-timeout=1d chain=DNS_DROP_UDP_RAW comment="Creation AddList of IP addresses of attackers" add action=drop chain=DNS_DROP_TCP_RAW comment="Drop TCP-packages who attacked us" add action=drop chain=DNS_DROP_UDP_RAW comment="Drop TCP-packages who attacked us"

Заблокировать внешний ip на Mikrotik

Есть задача, заблокировать внешний ip (или диапазон ip) на роутере, чтобы c данных адресов небыло возможности обращаться к роутеру, сети.
Как это правильно настроить?

94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:

MikroTik RouterBOARD RB750Gr3 можно ли расшарить внешний HDD
Здравствуйте. Вопрос, кто сталкивался с моделью MikroTik RouterBOARD RB750Gr3, по usb можно.

Заблокировать внешний ip на RDP (Windows Server 2008 r2)
Есть задача, заблокировать внешний ip (или диапазон ip) на роутере, чтобы c данных адресов небыло.

Непонятное поведение MikroTik hEX и MikroTik hAP
Имеется два устройства: MikroTik hEX RB750Gr3 MikroTik hAP ac² hEX является первым.

Mikrotik BlackList Parser (Mikrotik StopAD)
Всем привет! Будучи счастливым обладателем роутера Mikrotik задался рядом частных задач.

Эксперт по компьютерным сетям

11417 / 6987 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394

ip — firewall
цепь input — для доступа на сам роутер
цепь forward — для проходящих пакетов
так же доступ на сам роутер можно ограничить через ip-services

Эксперт по компьютерным сетям

1543 / 628 / 127
Регистрация: 10.06.2009
Сообщений: 2,439
У меня забанено более 11к айпишников. И даже при этом данный список только дополняется.
Регистрация: 27.11.2015
Сообщений: 454

Цитата Сообщение от insect_87 Посмотреть сообщение

ip — firewall
цепь input — для доступа на сам роутер
цепь forward — для проходящих пакетов

Мне это тоже очень нужен чуть по подробнее напиши пожалуйста..
Мне это нужен чтобы у них не было подключение ни на микротик ни на мои сервер доступ, как правильно это настроить?

Добавлено через 3 минуты

Цитата Сообщение от NoNaMe Посмотреть сообщение

У меня забанено более 11к айпишников. И даже при этом данный список только дополняется.

Все этого вы на одного правило настроили или для 11 IP, 11 правило?
Потому что я на один правило написал несколько ip (в Content) для блокировка, он не работал..

Эксперт по компьютерным сетям

1543 / 628 / 127
Регистрация: 10.06.2009
Сообщений: 2,439

/ip firewall raw add action=drop chain=prerouting comment=BlackList src-address-list=blacklist /ip firewall address-list add address=1.2.3.4 comment=hidecomment list=blacklist add address=2.3.4.5 comment=hidecomment list=blacklist add address=3.4.5.6 comment=hidecomment list=blacklist

Регистрация: 16.03.2013
Сообщений: 127

А я чет не понимаю, что за цепь «input» и чем она отличается от «forward». Все время пишут какую-то обстракцию — цепочка input обрабатывает пакеты, предназначенные самому роутеру. А что это за пакеты такие?
Когда, скажем, какой-то источник обращается по внешнему айпишнику нашего роутера, он не знает ни про какие форварды и хосты позади него. Он обращается IP : port. Это цепь input. Если в этой chain написать «переправить по такому-то адрему:порту», то вроде бы этим все и должно закончиться. Но тем не менее, мы принимаем пакет в цепочке input и уже затем обрабатываем его в цепочке forward.
Можете привести примеры, в каких случаях роутеру нужна цепочка «вход», а когда цепочка «вперед»?

Эксперт по компьютерным сетям

4717 / 2094 / 448
Регистрация: 17.10.2015
Сообщений: 8,977