[ccplazza]

Koduvõrgus on ühes arvutis Nginx teenus, millel on maailmale avatud pordid 443 ja 80 (dstnat). Soov oli antud arvutile peale panna GeoIP blokeering. Selle jaoks importisin oma Mikrotik hAP ac2 ruuterisse
Aadress Listid, kus oli umbes 20 000 IP'd. Seejärel lisasin Mikrotiku Filter Rules alla forward chaini mõlema pordi kohta reeglid, mis acceptib ühendused, kui IP on aadress listis ja ülejäänud dropitakse.
Testisin reeglit ka VPN'ga ning tundus töötavat.

Nüüd probleem on aga selles, et paar päeva jõudis lahendus töötada ja siis üks hetk olid kõik tulemüüri reeglid ära kustunud. Mikrotiku logi oli võõraid IPsid täis, ei näidanud tulemüüri muutmise kohta seetõttu midagi.
Tegin kiiresti ruuterile resetti ja uuendasin tarkvara 6.46.1 pealt kõige uuema peale.

Kas ma konfisin midagi valesti või käib see 20 000+ IP aadressi väiksele mikrotikule üle jõu ja läks lolliks? Reeglid olid üsna lihtsad, forward chain, dst ip oli ngnix masin, protocol tcp, 443/80 pordid ja siis src aadress list need 20k aadressi. Ülejäänud drop.
Kas oleks õigem teostada sellises mahus accept ja drop Mikrotikus RAW preroute chainis?

[napoleon]

Pole küll kõige iliusam lahendus, aga antud juhul võiks täiesti toimida ka see, kui teed need tulemüüri reeglid hoopis selles arvutis kus see nginx jookseb. Kui sul on ainult dstnat, siis see IP-d ära ei kaota ehk saad vabalt ka nginx masinas filtreerida.
Need pisikesed karbid ja 20k IP-d võivad jah natuke hätta jääda kuigi ma ise kahtlustaks pigem häkkimist või softi kala

[ccplazza]

Mul olidki need IP'd tegelikult paar aastat seal nginx arvutis blokitud. Tulevikus on plaan selle masina OS Unraidi peale üle viia ja tundus, et sellise lahenduse puhul oleks Mikrotikus tulemüürimine ainuke võimalus.
Häkkimise tõkestamiseks oli Mikrotikus admin konto seadistatud read only, ise kasutasin password generatoriga genereeritud kasutajat. Kasutusel oli default Mikrotiku IPv4 tulemüür koos siis eelmainitud dstnatiga, ip accept/dropiga ja dns pordi masqeruade LANis.
Ei välista ise ka häkkimist, kuid tundub üsna ebatõenäoline. Softid olid ka üsna uued.

[skyTronic]

Kui logis on võõrastelt ip-delt loginid, siis on webfig või winbox port lahti olnud. Pole välistatud, et ehk isegi LANist mingi seade on nakatunud ja üritab uuendamata Tiki nõrkuseid ära kasutada. Õppetunud softi uuendamise kohta. Alati kasuta uusimat RouterOSi ja nginxi, jälgi uuendusi. Mikrotikis vaata system / scripts ja system / schedule üle, kas sinna on midagi jäänud. Tee uus konto, mis pole admin nimega ja disable või kustuta admin konto. Firewallis vaata, et poleks ebavajlikke input accept reegleid, eriti winbox ja webfig portidele. Kui vaja remote hallata Mikrotiki, siis sea VPN üles ja ava ainult VPN port. Ma ise luban isegi LANist ainult ühelt kaablipordilt managementile ligi.

Vaata ja tee see läbi: https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

Geoblocki jaoks ma kasutaks pigem pfsense ruuterit. Tegelikult kodus ei hostikski midagi kogu maailmale. Alati on võimalus 0day nõrkusega pihta saada kui midagi maailmale avatud on. Odavaid VPSe on tänapäeval mitmel teenusepakkujal.