This will prevent a SSH brute forcer

Итак для всех очевидно что доступ к управленю сетевым оборудованием открывать для всех не хорошо.

Но предположим, что мы хотим иметь возможность подключиться к микротику отовсюду и защитить его от брутфорса. Реализуем:

Собственно правила представляют собой каскад ограничений:

  1. Запрещаем любой доступ из адрес-листа sshBlackList.
  2. Разрешаем address-list "sshDarkGreyList" подключение к 22 порту и заносим в address-list "sshBlackList" после timeout 1 час
  3. Разрешаем address-list "sshGreyList" подключение к 22 порту и заносим в address-list "sshDarkGreyList" после timeout 1 минута
  4. Разрешаем address-list "sshLightGreyList" подключение к 22 порту и заносим в address-list "sshGreyList" после timeout 1 минута
  5. Разрешаем всем подключение к 22 порту и заносим в address-list "sshLightGreyList" с timeout 1 минута
/ip firewall filter
add chain=input src-address-list=sshblacklist action=drop \
comment="drop all traffic brute force attack sources" disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=sshdarkgreylist action=add-src-to-address-list \
address-list=sshblacklist address-list-timeout=1h \
comment="add new failed sshdarkgreylist to sshblacklist" \
disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=sshgreylist action=add-src-to-address-list \
address-list=sshdarkgreylist address-list-timeout=1m \
comment="add new failed sshgreylist to sshdarkgreylist" \
disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=sshlightgreylist action=add-src-to-address-list \
address-list=sshgreylist address-list-timeout=1m \
comment="add new failed sshlightgreylist to sshgreylist" \
disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
action=add-src-to-address-list \
address-list=sshlightgreylist address-list-timeout=1m \
comment="new connections to sshlightgreylist" \
disabled=no

Надыбано где-то на http://forum.mikrotik.com

It анекдот

- Уважаемый Александр! В нашей бухгалтерии снова не работает банк-клиент.

- Уважаемая Марина, ХЗ как Вы его запускаете - но у меня все работает!

- Что значит хз?

- Хочу Знать.

- Спасибо.