Определение состояния пакета относительно соединения в любой случае делается в цепочке prerouting и отменить данное поведение можно только двумя способами либо отключить connection-tracker или для определённого трафика использовать action=notrack.
На момент выхода пакета из цепочки prerouting у него уже стоит флаг в соответствии с состоянием соединения.
В таком случае, если злоумышленник сможет отправить пакет на ваш маршрутизатор с адресом назначения вашей внутренней сети.(т.е он находиться с маршрутизатором в connected сети), он сможет организовать rst flood атаку на ваши внутренние ресурсы.
Так как пакет rst будет помечен как invalid, из за того что connection-tracker отслеживает на данный момент три протокола tcp,icmp,gre и замечательно пройдёт ваш файрвол. В итоге такой пакет дойдёт до внутренних хостов.
Всё же не стоит пренебрегать дропом invalid пакетов.
Правильно настроенный NAT не защищает сеть, но неправильно настроенный NAT открывает новые дырки.
Это очень большое заблуждение что NAT способствует безопасности сети.
Вы же понимаете, что у Китая есть своё мировоззрение на мир, тем более их политический строй вызывает гнев у других стран.
Вот сейчас государство борется и в том числе с торрентами, когда она посчитает, что проблема решена, оставшиеся качки будут получать письма счастья как в Германии.
Вспомните что было в интернете лет 10-15 лет назад, на каждом сайте висели порнобанеры, сейчас по проще можно хоть ребёнка пустить посидеть.
Но мне как отцу не хочется, чтобы ребёнок видел не порнографию и тем более агнец демократии всё что происходит в Гейропе и их взгляд на мир, для меня он просто не приемлем вот вам пример 77 умерло http://www.bbc.com/russian/news-39130224
Как они будут отделять VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок?
Легко и не принуждённо, написать письмо провайдеру, о том что IPsec и иже с ним используется в корпоративных целях. Провайдер покажет бумажку и ему лишний раз проще.
Ну а если серьёзно, то в большинстве своём отделить VPN можно хотя бы по тому, что как только появляется трафик энкапсулируемого протокола сразу пропадает web трафик 80,443
У меня лично VPN-ов пару сотен штук нужны для работы, но они нужны именно для безопасности.
Некогда не понимал, зачем эти VPN-ы и анонимайзеры для сёрфинга, лишний раз прочитать как можно приготовить наркотик? расскажите что там такого за VPNом?
Иначе на следующем этапе будет попытка установить статус соединения (Established, related или invalid), а это уже выборка из памяти connection-tracker-a
Если нечего не делать, то конечно помрёт, но у нас есть возможность по крайней мере слегка разгрузить нагрузку, за счёт прерывания трафика в цепочки Prerouting
А что вы собственно ожидали от MikroTik? чтобы они за вас создали правила в фаерволе?
Так как это не проблема MikroTik это проблема протокола.
Если вы завтра создадите пару сотен правил фаервола и пропускная способность будет ниже чем ширина канала и вы получите на входе полную загрузку канала, в итоге вы получите 100% загрузку CPU и все вытекающие последствия…
Создавайте правила фаервола которое смотрит количество пакетов RST за N время и добавляйте src адрес в адрес лист, после чего добавьте это адрес в дроп а таблице RAW /ip firewall filter
add action=add-src-to-address-list address-list=DDOS address-list-timeout=1d chain=input limit=1k,5:packet protocol=tcp src-address-list=!DDOS tcp-flags=rst
/ip firewall raw
add action=drop chain=prerouting src-address-list=DDOS
Естественно указать интерфейсы входящие откуда ожидаете проблему (обычно со стороны провайдера)
Также можете указать конкретно порты сервисов, чтобы не весь трафик rst проверять
Можно вас попросить предоставить ссылочки\пруфы откуда у вас эта информация?!
Открываю спеку по протоколу и вижу в тексте только TCP
с февраля по-моему вышла уже не одна версия, может что-то и изменилось, но ставился отдельный extension и можно было подключаться через url https://guacamole.apache.org/doc/gug/adhoc-connections.html#guac-quickconnect-config
Если действительно для благих целей могу поделиться местечком на хостинге!
Знаю что наверное уже поздно, но можно использовать quickconnect в глюкамоле ), чтобы не заводить все хосты
Определение состояния пакета относительно соединения в любой случае делается в цепочке prerouting и отменить данное поведение можно только двумя способами либо отключить connection-tracker или для определённого трафика использовать action=notrack.
На момент выхода пакета из цепочки prerouting у него уже стоит флаг в соответствии с состоянием соединения.
Всё чётко и по делу, но я бы всё таки фильтр в цепочке подкрутил немного.
Тот вариант который вы предлагаете
В таком случае, если злоумышленник сможет отправить пакет на ваш маршрутизатор с адресом назначения вашей внутренней сети.(т.е он находиться с маршрутизатором в connected сети), он сможет организовать rst flood атаку на ваши внутренние ресурсы.
Так как пакет rst будет помечен как invalid, из за того что connection-tracker отслеживает на данный момент три протокола tcp,icmp,gre и замечательно пройдёт ваш файрвол. В итоге такой пакет дойдёт до внутренних хостов.
Всё же не стоит пренебрегать дропом invalid пакетов.
Позанудствую
Правильно настроенный NAT не защищает сеть, но неправильно настроенный NAT открывает новые дырки.
Это очень большое заблуждение что NAT способствует безопасности сети.
А за статью спасибо, очень интересно.
повести разные ИП адреса на HAproxy и с помощью DNS разрулите
Маленькие уточнения
Так как клиент mstsc не передаёт в куки больше 9 символов, нет смысла делать длинну более девяти
причем будет происходить реплика между пирами stick-table
Для резервирования HAproxy используйте keepalived (aka VRRP) назначаете общий IP адрес (так как это VRRP между хостами должен бегать мультикаст)
Чекать сервера можно таким образом (в одну строку)
Вы же понимаете, что у Китая есть своё мировоззрение на мир, тем более их политический строй вызывает гнев у других стран.
Вот сейчас государство борется и в том числе с торрентами, когда она посчитает, что проблема решена, оставшиеся качки будут получать письма счастья как в Германии.
Вспомните что было в интернете лет 10-15 лет назад, на каждом сайте висели порнобанеры, сейчас по проще можно хоть ребёнка пустить посидеть.
Но мне как отцу не хочется, чтобы ребёнок видел не порнографию и тем более агнец демократии всё что происходит в Гейропе и их взгляд на мир, для меня он просто не приемлем вот вам пример 77 умерло http://www.bbc.com/russian/news-39130224
Легко и не принуждённо, написать письмо провайдеру, о том что IPsec и иже с ним используется в корпоративных целях. Провайдер покажет бумажку и ему лишний раз проще.
Ну а если серьёзно, то в большинстве своём отделить VPN можно хотя бы по тому, что как только появляется трафик энкапсулируемого протокола сразу пропадает web трафик 80,443
У меня лично VPN-ов пару сотен штук нужны для работы, но они нужны именно для безопасности.
Некогда не понимал, зачем эти VPN-ы и анонимайзеры для сёрфинга, лишний раз прочитать как можно приготовить наркотик? расскажите что там такого за VPNом?
/ip firewall filter
add action=add-src-to-address-list address-list=TEST_DDOS address-list-timeout=1d chain=input connection-state=invalid dst-port=8291 in-interface=ether5 limit=1k,5:packet protocol=tcp tcp-flags=rst
http://5.19.245.3/graphs/
Так как это не проблема MikroTik это проблема протокола.
Если вы завтра создадите пару сотен правил фаервола и пропускная способность будет ниже чем ширина канала и вы получите на входе полную загрузку канала, в итоге вы получите 100% загрузку CPU и все вытекающие последствия…
Создавайте правила фаервола которое смотрит количество пакетов RST за N время и добавляйте src адрес в адрес лист, после чего добавьте это адрес в дроп а таблице RAW
/ip firewall filter
add action=add-src-to-address-list address-list=DDOS address-list-timeout=1d chain=input limit=1k,5:packet protocol=tcp src-address-list=!DDOS tcp-flags=rst
/ip firewall raw
add action=drop chain=prerouting src-address-list=DDOS
Естественно указать интерфейсы входящие откуда ожидаете проблему (обычно со стороны провайдера)
Также можете указать конкретно порты сервисов, чтобы не весь трафик rst проверять
До первого кривого dhcp client, который не проверит обычным arp запросом занятость адреса.
а по моему, всё очень чётко и доходчиво написано.
или вы про идеологию Juniper? ну так "не на кошках мир построен"