Mikrotik – Port forwarding with DDoS protection

By | 02/06/2020

Mikrotik – Port forwarding with DDoS protection

Port forwarding with DDoS protection for specific rule.

Motivace:

Díky tomuto článku je možné chránit svůj vnitřní server, servery nebo stanice, pokud dojde k DDoS útoku odkudkoliv z venku přímo na RouterBOARDu od společnosti Mikrotik.

OS:

Postup byl prováděn na verzi RouterOS 6.x.

Implementace:

Příklad konfigurace:

Aby byl webový server běžící na standardním portu TCP/80 dostupný pod veřejnou IP adresou z rozhraní ether1 bude jeho reálná IP adresa 192.168.0.10 namapována k veřejné IP adrese 7.48.15.1 ba TCP/8080. Navíc bude omezen příchozí počet paketů na 5 za sekundu jako jednoduchá DDoS ochrana pro cílovou IP 7.48.15.1 dostupnou z internetu.

Port forwarding with DDoS protection

Vstoupit do sekce IP > Firewall > NAT:

/ip firewall nat

Příkaz níže namapuje 7.48.15.1:8080 k 192.168.0.10:80 s omezením max. 5 paketů za 1 sekundu (dst-limit=1,5) pro cílovou IP 7.48.15.1 (dst-address). Vstupní provoz je očekáváný na rozhraní ether1:

add chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80 protocol=tcp dst-address=7.48.15.1 in-interface=ether1 dst-port=8080 dst-limit=1,5,dst-address

 

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *