Есть сервис (-ы), количество соединений с которыми нельзя ограничивать. Соответственно возникает необходимость защититься от перебора паролей (bruteforce).
Рубить будем Микротик-ом.
Есть перенаправление портов, реализуемое с помощью dst-nat, после прохождения которого пакеты будут проверяться и в случае паразитной активности дропаться фильтрами файрволла. В двух словах — если наблюдаем несколько соединений в течении промежутка времени на защищаемый порт в состоянии new — нещадно дропаем.
Рассмотрим, в частности, защиту 3389(RDP) порта.
#Отправляем на проверку все новые соединения по TCP/UDP 3389 #Обратите внимание отправка ДО БЛОКИРОВКИ. Т.е. Если атакующий не перестанет ломиться, он не вылезет из блеклиста НИКОГДА add action=jump chain=forward connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=tcp add action=jump chain=forward connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=udp #Пошла защита от брутфорса. Грохаем все что попало в адрес-лист BruteForcer. Оно специально стоит ПОСЛЕ отправки на проверку. add action=drop chain=forward comment=Drop-Bruteforcers connection-state=new src-address-list=bruteforcer #Общая цепочка проверки на брутфорс. В нее отсылаем при помощи jump на проверку все, что у нас могут ломать #CHECK-BRUTEFORCE #10 минут вполне достаточно. add action=add-src-to-address-list address-list=bruteforcer address-list-timeout=10m chain=check-bruteforce src-address-list=bruteforce-stage-5 add action=add-src-to-address-list address-list=bruteforce-stage-5 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-4 add action=add-src-to-address-list address-list=bruteforce-stage-4 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-3 add action=add-src-to-address-list address-list=bruteforce-stage-3 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-2 add action=add-src-to-address-list address-list=bruteforce-stage-2 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-1 add action=add-src-to-address-list address-list=bruteforce-stage-1 address-list-timeout=1m chain=check-bruteforce
Решение подсказано здесь wiki.mikrotik.com/wiki/Bruteforce_login_prevention и уточнено и разъяснено многоуважаемым Ильёй Князевым, за что ему огромное спасибо!