В последнее время все кому не лень подбирают пароли к удаленному рабочему столу и другим открытым сервисам. Есть разные способы блокировки этого, например такой:
/ip firewall filter add action=reject chain=forward comment="Block RDP bruteforce" log=yes \ log-prefix="Blocked - " reject-with=icmp-network-unreachable \ src-address-list="Blocked bruteforcers" add action=add-src-to-address-list address-list="Blocked bruteforcers" \ address-list-timeout=60m chain=forward comment="RDP bruteforce stage4" \ connection-state=new dst-port=3389 log=yes log-prefix=\ "RDP BRUTEFORCE - " protocol=tcp src-address-list=rdp_bruteforce3 add action=add-src-to-address-list address-list=rdp_bruteforce3 \ address-list-timeout=15m chain=forward comment="RDP bruteforce stage3" \ connection-state=new dst-port=3389 log=yes log-prefix=\ "RDP BRUTEFORCE - STAGE3 - " protocol=tcp src-address-list=rdp_bruteforce2 add action=add-src-to-address-list address-list=rdp_bruteforce2 \ address-list-timeout=15m chain=forward comment="RDP bruteforce stage2" \ connection-state=new dst-port=3389 log=yes log-prefix=\ "RDP BRUTEFORCE - STAGE2 - " protocol=tcp src-address-list=rdp_bruteforce1 add action=add-src-to-address-list address-list=rdp_bruteforce1 \ address-list-timeout=15m chain=forward comment="RDP bruteforce stage1" \ connection-state=new dst-port=3389 log=yes log-prefix=\ "RDP BRUTEFORCE - STAGE1 -" protocol=tcp
Работает это таким образом.
При попытке подключения атакующий ip записывается в список rdp_bruteforce1 на указанный в address-list-timeout промежуток времени. При второй попытке подключения этот ip записывается в rdp_bruteforce2, при третьей — rdp_bruteforce3. При следующих попытках он попадает в список Blocked bruteforcers и блокируется.
Надо обратить внимание, что в dst-port должен указываться не внешний порт подключения, а конечный порт, на который пробрасывается соединение. Допустим, если для подключения по RDP используется внешний нестандартный порт 12345, который пробрасывается на порт 3389 внутреннего сервера, то в dst-port нужно указать 3389, а не 12345.