Скрипт для Mikrotik для переноса IP в адрес-лист из лога

Потребовалось добавлять IP адреса из лога в адрес-лист по которому дропается траффик в raw prerouting

На скорую руку получился вот такой вот скрипт:

:foreach line in=[/log print as-value where buffer=memory message~"failed to get valid proposal"] do={
   :set $targetip [:toip [:pick ($line->"message") 0 [:find ($line->"message") " "]]]
   :if ([:len [/ip firewall address-list find address="$targetip" and list="IPSEC"]] = 0) do=
      /ip firewall address-list add list=IPSEC address=$targetip
      :put "$targetip added to list IPSEC"}
}
Остается добавить его в планировщик и запускать с необходимой периодичностью.
Конечно нужно добавить правило для дропа трафика. В целом можно даже адаптировать для работы со всякими правилами дропа SSH и RDP.

Комментарии

  1. Unknown14 апреля 2019 г. в 00:04

    я так понимаю скрипт для того чтоб блокировать негодяев которые люмятся на микротик?
    у меня тоже такая проблема, позакрывал уже все что можно, так лезут в мой канал с впн...

    ОтветитьУдалить

Отправить комментарий

Популярные сообщения из этого блога

L2TP Туннель между роутером с OpenWRT и Mikrotik RB951G-2HnD

Изображение
Всем привет! Есть у меня дача в деревне и там стоит роутер TP-Link 3420 с OpenWRT, использую я его в связке с 4G модемом ZTE MF825, в городе Mikrotik RB951G-2HnD, провайдер Псковлайн, этот провайдер предоставляет услугу IPTV и я настроив IGMP Proxy пользуюсь приставкой MAG-245 для телевизора. Приехав на дачу я заметил что МТС стал ограничивать время некоторых сессий (RDP, SSH), нормально не поработаешь на удаленных серверах, да и постоянные проблемы от того что сайтам кажется что я в Санкт-Петербурге. Еще захотелось привезти приставку и посмотреть тот-же Paramount Comendy на телевизоре. Было решено настроить L2TP туннель до микротика и настроить igmp proxy. Почему именно этот туннель? Дело в том что в городе у меня серый IP, но адрес за натом провайдера не меняется, также есть DNS запись на сервере провайдера вида gorod-home.pskovline.ru, а вот у МТС IP каждую новую сессию меняется. Итак, исходные условия такие: Mikrotik: Сервер L2TP Домашняя сеть - 192.168.20.0/24 Публичный IP -
Далее...

Настройка модема ZTE MF825 (МТС 830FT) и маршрутизатора Mikrotik RB951g-2HnD для совместной работы

Изображение
Приобрел тут себе 4G модем ZTE MF825 и сразу же решил его протестировать. Для удобства сменил (добавил) web-интерфейс, разблокировал доступ для любых сим-карт, добавил соответствующие профили ну и подключил к своему маршрутизатору RB951g-2HnD. В целом все что я сделал не является чем-то сверхъестественным, но есть пару нюансов, о которых я расскажу. Для начала разблокируем девайс. Процедура банальна и отлично описана на 4pda (описание в шапке данной темы ). Теперь зальем web-интерфейс: telnet 192.168.99.1 9615-cdp login: root Password: zte9x15 rm /usr/zte_web/ZTEMODEM.ISO reboot telnet 192.168.99.1 cd / wget https://db.tt/xlrOegjx tar zxvf wui_mf825_2014-06-30.tgz rm wui_mf825_2014-06-30.tgz reboot Поподробнее по пунктам: 1. Подключаемся telnet'ом по стандартному ip адресу 192.168.99.1 с логином: root и паролем: zte9x15 2. Удаляем образ для виртуального привода, для того чтобы освободить место (пользователь thunder367 с 4pda сделал копию папки /usr/zte_web, я набрался храброс
Далее...

IPSec тунель между Mikrotik и Cisco ASA с пересекающимися (overlapped) сетями

Изображение
Так уж вышло, что у наших клиентов сеть оказалась такой же как у нас (192.168.0.0/24) По долгу службы необходимо понять IPSec Tunnel между Mikrotik (у нас) и Cisco ASA (у них) Как-же такое реализовать? Очень просто. Придет на помощь NAT. Итак схема: Наши адреса транслируются в 192.168.77.0/24, их в 192.168.78.0/24 Начнем с конфигурации Cisco ASA Данное устройство там уже давно работает, настроено подключение ВПН клиентов, поэтому весь конфиг приводить не буду. //ACL для шифрования траффика access-list L2L-MAIN extended permit ip 192.168.78.0 255.255.255.0 192.168.77.0 255.255.255.0 //ACL направление для NAT access-list SRC-TO-77 extended permit ip 192.168.0.0 255.255.255.0 192.168.77.0 255.255.255.0 //Сам NAT static (inside,outside) 192.168.78.0 access-list SRC-TO-77 //Настройки IPSec crypto ipsec transform-set VPN-MIKROTIK esp-aes esp-md5-hmac crypto map VPN-MAP 10 match address L2L-MAIN crypto map VPN-MAP 10 set peer 1.1.1.1 crypto map VPN-MAP 10 set transform
Далее...