Ochrana DST-NAT WAN

egon

Řešil jsem problém jak ochránit NATované porty proti scann útokům z WAN portu.
Napadlo mě tohle pravidlo, možná by se dalo vylepšit.
Celkem to dobře chytá útočné IP adresy a hází je do blokovaných adres Blok-IP.
Pokud se zařízení zvenčí stihne přihlásit změní se connection-state na established
a mangle je pak již neoznačkuje.
Pro jednoduchost ukázky jsem smazal firewall a nechal jen důležité věci k tématu.
Pokud máte nápady rád uvítám. Zatím celkem dobře funguje tak uvidím.

/ip firewall filter
add action=drop chain=input comment=Blok-IP src-address-list=Blok-IP
add action=drop chain=forward comment=Blok-IP src-address-list=Blok-IP
Na filtru blokuji adresy z address listu Blok-IP

/ip firewall mangle
add action=add-src-to-address-list address-list=Blok-IP address-list-timeout=1h chain=prerouting connection-state=!established \
dst-limit=30/1m,5,dst-address/3m dst-port=12345,12346,12347,12348,12349 in-interface-list=WAN protocol=tcp
Na mangle označím pakety na DST-NAT portech které nejsou established a nevejdou se do dst-limitu, vloží se do address listu Blok-IP na 1h

/ip firewall nat
add action=masquerade chain=srcnat comment=NAT out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=12345 in-interface-list=WAN log=yes log-prefix="Test1" protocol=tcp \
src-address-list=!Blok-IP to-addresses=192.168.1.45 to-ports=3389
add action=dst-nat chain=dstnat dst-port=12346 in-interface-list=WAN log=yes log-prefix="Test2" protocol=tcp \
src-address-list=!Blok-IP to-addresses=192.168.1.46 to-ports=3389
add action=dst-nat chain=dstnat dst-port=12347 in-interface-list=WAN log=yes log-prefix="Test3" protocol=tcp \
src-address-list=!Blok-IP to-addresses=192.168.1.47 to-ports=3389
add action=dst-nat chain=dstnat dst-port=12348 in-interface-list=WAN log=yes log-prefix="Test4" protocol=tcp \
src-address-list=!Blok-IP to-addresses=192.168.1.48 to-ports=3389
add action=dst-nat chain=dstnat dst-port=12349 in-interface-list=WAN log=yes log-prefix="Test5" protocol=tcp \
src-address-list=!Blok-IP to-addresses=192.168.1.49 to-ports=3389
Zde jen ukázka dst-nat

ludvik

Neříkal bych tomu ochrana proti DOS/DDoS, ale použít/inspirovat se lze tímto:

/ip firewall filter
add action=drop chain=sshchain src-address-list=sys_ssh_blacklist
add action=accept chain=sshchain comment="whitelist" src-address-list=sys_whitelist
add action=add-src-to-address-list address-list=sys_ssh_blacklist address-list-timeout=3d chain=sshchain connection-state=new src-address-list=sys_ssh_stage3
add action=add-src-to-address-list address-list=sys_ssh_stage3 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage2
add action=add-src-to-address-list address-list=sys_ssh_stage2 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage1
add action=add-src-to-address-list address-list=sys_ssh_stage1 address-list-timeout=1m chain=sshchain connection-state=new

/ip firewall raw
add action=drop chain=prerouting src-address-list=sys_ssh_blacklist

A službu, kterou chci tímto ochránit tam prostě "pošlu". Používám to jen na input, ale forwardu nic nebrání.

add action=jump chain=input connection-state=new dst-port=22,8291 jump-target=sshchain protocol=tcp

egon

ludvik Pěkné obejde se bez mangle ?. Budu muset ještě prostudovat pak napíšu. Děkuji.

iTomB

ludvik Hehe muj script 😃
Jinak se da doplnit o portknocking, pripadne i detekci port scanneru 😉
Jinak v te horni casti uz je zbytecke u kazdeho radku: connection-state=new

iTomB

ludvik

V podstatě je to zabezpečení, že během jedné minuty můžou přijít jen tři pokusy o přihlášení, přesněji tedy konexe. Čtvrtá už udělá adress-list na tři dny, který můžu použít kdekoliv.

RAW tabulka je pak něco, co má ten nejvyšší výkon z hlediska netfilteru (výkonnější by bylo už jen filtrování přímo na síťové kartě, ale to máme v mikrotiku smůlu). Zároveň se ta konexe nedostane do conntrack tabulky.

Ochranu proti scanování rozsahů to neudělá. Ale služby proti brute-force to zabezpečí poměrně dobře. Blokuje to celou IP, já na ně kašlu :-) Nějaká větší granularita by to jen (asi) zbytečně zesložištila.

Ten DROP na začátku je samozřejmě zbytečný. Je to historický pozůstatek :-)

egon

ludvik Musím říct že je moc pěkný tento filtr.

ludvik

Jsem netvrdil, že je to originál :-)

Zbytečné to tam je, pokud je firewall stavěný tak, jak všem říkám. Ale zároveň to ničemu nevadí a dost pochybuji v měřitelný výkonnostní dopad.

egon

V ROS jsou opět bugy připravuji upravenou verzi. Která by měla fungovat již korektně. Konkrétně v 6 verzi nejde na DST-Limit nejde nastavit korektně burst.