Last Updated on 13/01/2023 by administrator
Mikrotik – Port forwarding with DDoS protection
Port forwarding with DDoS protection for specific rule.
Motivace:
Díky tomuto článku je možné chránit svůj vnitřní server, servery nebo stanice, pokud dojde k DDoS útoku odkudkoliv z venku přímo na RouterBOARDu od společnosti Mikrotik.
OS:
Postup byl prováděn na verzi RouterOS 6.x.
Implementace:
Příklad konfigurace:
Aby byl webový server běžící na standardním portu TCP/80 dostupný pod veřejnou IP adresou z rozhraní ether1 bude jeho reálná IP adresa 192.168.0.10 namapována k veřejné IP adrese 7.48.15.1 na TCP/8080. Navíc bude omezen příchozí počet paketů na 5 za sekundu jako jednoduchá DDoS ochrana pro cílovou IP 7.48.15.1 dostupnou z internetu.
Vstoupit do sekce IP > Firewall > NAT:
/ip firewall nat
Příkaz níže namapuje 7.48.15.1:8080 k 192.168.0.10:80 s omezením max. 5 paketů za 1 sekundu (dst-limit=1,5) pro cílovou IP 7.48.15.1 (dst-address). Vstupní provoz je očekáváný na rozhraní ether1:
add chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80 protocol=tcp dst-address=7.48.15.1 in-interface=ether1 dst-port=8080 dst-limit=1,5,dst-address
