Самой частой проблемой при использовании публичного статического IP становится "паразитный" трафик.
Это могут быть попытки, каких-либо ботов, подключиться к роутеру по SSH, Telnet, DDOS и другим сервисам или портам.
Также Ваш роутер становится промежуточным DNS сервером и любые DNS запросы из внешней сети также будут обрабатываться, как и из локальной, что не правильно.
При этом при использовании динамических адресов такой проблемы не наблюдается.
Чтобы обезопасить себя от подобных проблем и вторжений необходимо применить ряд правил в межсетевом экране.
В стандартной поставке, роутеры серии GTX не имеют каких-либо фильтров и блокировок в межсетевом экране.
ВАЖНО!!!
Следите за последовательностью правил в Firewall Filter
Все правила выполняются сверху вниз!
1. Отключение учетной записи "по умолчанию" или создание новой.
Чтобы защитить доступ к роутеру мы можем сделать:
1.1. Установить пароль на учетную запись администратора (Admin)
Переходим в меню управления пользователями System -> Users
Открываем учетную запись администратора Admin.
Открываем окно изменения пароля.
И изменяем пароль для учетной записи.
Аналогичную операцию можно произвести через консоль:
/user set admin password=123456
1.2. Создать свою учетную запись и удалить учетную запись по умолчанию(Admin).
Переходим также в меню управления пользователями System -> Users
Создаем нового пользователя.
Вводим желаемое имя(он же Login), выбираем группу и вводим пароль.
Для создания администраторской учетной записи, пользователю необходимо присвоить группу full
Удаляем учетную запись по умолчанию.
Аналогичные операции можно произвести через консоль:
/user add name=user1 group=full password=123456
/user remove admin
2. Отключение "лишних" сервисов.
Вы можете отключить доступность различных базовых сервисов, чтобы к ним не было доступа.
Переходим в меню IP -> Services
Отключаем сервисы, которыми не пользуемся.
Для сервисов, которыми пользуемся, мы можем изменить стандартный порт на любой другой.
Аналогичные операции мы можем произвести консольно:
/ip service disable api,api-ssl,ftp,telnet,www
/ip service set ssh port=5001
3. Защита от DDoS по ICMP(ping)
Бывают ситуации, когда на Ваш статический IP начинает проходить очень большое количество Ping запросов из разных мест в один момент времени.
Такой спам запросов обычно называют DDoS(Подробнее)
DDoS атаки могут быть не только по ICMP, но мы рассмотрим блокировку именно этого типа запросов, как пример.
Следуем в меню IP -> Firewall
Создадим новое правило
Устанавливаем параметры на вкладке General
Переходим на вкладку Extra
Последний пункт на вкладке Action
Все остальные ping запросы блокируем. Создаем новое правило с параметрами.
Результат:
Консольный аналог:
/ip firewall filter add chain=input protocol=icmp in-interface=ppp-out1 limit=50/5s,2:packet action=accept
/ip firewall filter add chain=input protocol=icmp in-interface=ppp-out1 action=drop
4. Защита от нежелательных попыток подключений через Telnet, SSH, WinBox.
Если Вам необходимо использование сервисов SSH и Telnet и Вы не можете выключить данные сервисы в IP -> Services или сменить порт, то в этом случае, необходимо фильтровать нежелательные попытки подключений.
Для этого можно применить "лестницу" блокировок.
Выполним фильтрацию доступа по WinBox,SSH и Telnet.
Создаем новое правило "Запрет на соединения всем, кто находится в адрес листе" с параметрами:
Используем вкладки General, Advanced, Action.
In. Interface - это наш внешний интерфейс, через который получаем интернет.
Создаем новое правило "Перенести новые соединения соответствующие Блок листу 3 в основной Блок лист":
По аналогии создаем "лестницу" еще из трех правил:
Для этих правил изменяется время существования адреса в Блок листах.
Для последнего правила не будет указываться Блок лист во вкладке Advanced
Последним штрихом нужно разрешить, все что прошло через данные правила.
Результат будет выглядеть так:
Консольный аналог:
/ip firewall filter add chain=input protocol=tcp dst-port=8291,22,23 in-interface=ppp-out1 src-address-list=BlackListWST action=drop comment="Access Filter WinBox,SSH,Telnet"
/ip firewall filter add chain=input protocol=tcp dst-port=8291,22,23 in-interface=ppp-out1 connection-state=new src-address-list=BlackListWST_Stage3 address-list=BlackListWST address-list-timeout=1w action=add-src-to-address-list
/ip firewall filter add chain=input protocol=tcp dst-port=8291,22,23 in-interface=ppp-out1 connection-state=new src-address-list=BlackListWST_Stage2 address-list=BlackListWST_Stage3 address-list-timeout=1m action=add-src-to-address-list
/ip firewall filter add chain=input protocol=tcp dst-port=8291,22,23 in-interface=ppp-out1 connection-state=new src-address-list=BlackListWST_Stage1 address-list=BlackListWST_Stage2 address-list-timeout=1m action=add-src-to-address-list
/ip firewall filter add chain=input protocol=tcp dst-port=8291,22,23 in-interface=ppp-out1 connection-state=new address-list=BlackListWST_Stage1 address-list-timeout=1m action=add-src-to-address-list
/ip firewall filter add chain=input protocol=tcp dst-port=8291,22,23 in-interface=ppp-out1 action=accept
5. Блокировка 53 порта DNS для внешних запросов.
На вкладке IP -> DNS есть параметр: Allow Remote Requests
Если он установлен, роутер будет играть роль DNS сервера для всех запросов, как из локальной сети, так и из внешней(при публичном IP)
Такие запросы могут очень быстро забить Ваш канал интернета.
Значит нам необходимо разрешить такие запросы из локальной сети и запретить из внешней.
За фильтрацию трафика в роутерах отвечает Межсетевой экран, его и нужно настроить.
Создадим новое правило
Установим параметры правила на вкладках General и Action
Затем создадим второе правило.
Созданные нами правила
Консольный аналог:
/ip firewall filter add chain=input protocol=udp src-port=53 in-interface=ppp-out1 action=accept
/ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=!bridge1 action=drop
В итоге наша система фильтрации может выглядеть таким образом:
firewall_filter_ppp.rsc
firewall_filter_lte1.rsc
