Mikrotik закрыть 53 порт

Mikrotik закрыть 53 порт

Содержание

  • Закрываем 53 порт
  • Отключаем стандартные порты
  • Закрываем любой порт

Смотрите более полную инструкцию о том, как защитить свой Mikrotik от взлома

Закрываем 53 порт для доступа из вне

Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт? Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял Mikrotik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно. Когда я приехал, то сделал следующее.

Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.

Что бы сделать так же, добавляем первое правило.

  • Chain – input
  • Protocol – 17(udp)
  • Dst.port – 53
  • In.interface – ваш интерфейс, куда включен шнурок провайдера. В моем случае это pppoe-соединение Ростелекома.
  • Action – add src to address list
  • Address List – DNS_FLOOD (название может быть любым)


И второе правило.

  • Chain – input
  • Protocol – 17(udp)
  • Dst.port – 53
  • In.Interface – ваш интерфейс, куда включен провайдер
  • Action – drop





На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был рад по самые помидоры. Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.

Отключаем стандартные порты

Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:

Читайте также:  Int input в python это

Заходим IP-Services и видим список портов. Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет. У меня выглядит вот так:

Закрываем любой порт

Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать. Для примера давайте закроем порт 8080.

IP->Firewall->Filter Rules->New Firewall rule (синий плюсик)

  • Chain – input
  • Protocol – tcp
  • Dst.port – 8080
  • In.Interface – ваш интерфейс
  • Action – drop

Все! Вот так просто! Порт закрыт. Но будьте предельно аккуратны, не стоит беспорядочно закрывать все. В mikrotike с завода идет принцип запрещено все, что не разрешено. Поэтому сильно заморачиваться нет необходимости.

В следующий раз напишу, как закрыться от брутфорса и флуда, если нет возможности закрыть порт целиком.

Рано или поздно, у Mikrotik с белым ip адресом, можно заметить нагрузку на процессор и утечку трафика, которая вызвана внешними запросами к Вашему DNS серверу.

Есть отличное решение данной проблемы, которую предложил наш верный друг Erazel

Необходимо добавить правило в IP — Firewall — Filter Rules такого содержания

add chain=input action=drop protocol=udp in-interface=ISP1 dst-port=53

После чего нагрузка на процессор пропадёт и через время у желающих попользовать ваш DNS отпадёт всяческое желание. За два дня, на двух роутерах Mikrotik RB951-2n набежало около 1 Гб отфильтрованного трафика.

Читайте также:  Nvidia geforce 600 series

Подозреваю, что вы его отключили по всем интерфейсам. Закрывать 53 порт нужно по wan-интерфейсу в цепочке INPUT.

chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix=""
chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=53 log=no log-prefix=""
Примерно так.

ну и "заодно", так сказать. Вам так же нужно сделать:
1. Закрыть NTP
/ip firewall filter add chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=123 log=no log-prefix=" "
/ip firewall filter add chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=123 log=no log-prefix=" "
2. Перейти в IP Services и там выключить лишнее, оставив, скажем, www и winbox
3. На цепочку инпут со стороны внешнего интерфейса повешать правило с connection state established, а остальное drop ровно как в статье
wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router

add chain=input connection-state=established action=accept comment="accept established connection packets" disabled=no in-interface=ether1
add chain=input connection-state=related action=accept comment="accept related connection packets" disabled=no in-interface=ether1
add chain=input connection-state=inval disabled=no in-interface=ether1

Спасибо получилось, осталось спросить у провайдера всё ли нормально. просто код поменял

/ip firewall filter add chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix=" "
/ip firewall filter add chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=53 log=no log-prefix=" "

Ссылка на основную публикацию
Adblock detector