This will prevent a SSH brute forcer

Итак для всех очевидно что доступ к управленю сетевым оборудованием открывать для всех не хорошо.

Но предположим, что мы хотим иметь возможность подключиться к микротику отовсюду и защитить его от брутфорса. Реализуем:

Собственно правила представляют собой каскад ограничений:

  1. Запрещаем любой доступ из адрес-листа sshBlackList.
  2. Разрешаем address-list "sshDarkGreyList" подключение к 22 порту и заносим в address-list "sshBlackList" после timeout 1 час
  3. Разрешаем address-list "sshGreyList" подключение к 22 порту и заносим в address-list "sshDarkGreyList" после timeout 1 минута
  4. Разрешаем address-list "sshLightGreyList" подключение к 22 порту и заносим в address-list "sshGreyList" после timeout 1 минута
  5. Разрешаем всем подключение к 22 порту и заносим в address-list "sshLightGreyList" с timeout 1 минута
/ip firewall filter
add chain=input src-address-list=sshblacklist action=drop \
comment="drop all traffic brute force attack sources" disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=sshdarkgreylist action=add-src-to-address-list \
address-list=sshblacklist address-list-timeout=1h \
comment="add new failed sshdarkgreylist to sshblacklist" \
disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=sshgreylist action=add-src-to-address-list \
address-list=sshdarkgreylist address-list-timeout=1m \
comment="add new failed sshgreylist to sshdarkgreylist" \
disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=sshlightgreylist action=add-src-to-address-list \
address-list=sshgreylist address-list-timeout=1m \
comment="add new failed sshlightgreylist to sshgreylist" \
disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
action=add-src-to-address-list \
address-list=sshlightgreylist address-list-timeout=1m \
comment="new connections to sshlightgreylist" \
disabled=no

Надыбано где-то на http://forum.mikrotik.com

It анекдот

Мальчик, решивший стать программистом, уже неделю перебирал сломавшийся компьютер. Его мама круглосуточно возилась на кухне. Было непонятно, почему она вдруг начала так вкусно готовить. Мальчик не знал, что три дня назад мама случайно услышала отрывок его разговора с приятелем:

- ... Память у меня хорошая. У меня с питанием проблема. Я вначале на "мать" грешил, думал, уже избавляться от неё буду, но пусть пока будет, какая есть. А вот питание, как выяснилось, хреновое. Буду думать, что делать.