Добрый вечер форумчане. В общем ситуация следующая. установлен виртуальный микротик на VmWare. Смотрит микротик во мир двумя интерфейсами. На одном висит почта Exchange. На другом сам микротик. В логах почты обнаружил что спаят с домена qq.com, прогуглил домен, гугл сказал китайский домен. Добавил домены в блек лист. Зашел на микротик и увидел флуд с китайских ip адресов. Думал сначала вирус в внутрненней сети, по-скольку у меня на VMWARE развернута инфраструктура, выключил все машинки, начал смотреть на маршрутизатор, флуд идет. Попытался дропать данный трафик добавив в адресс лист флуд с определенных китайских сетей, которых я пробивал в гугле. Но флуд не заканчивался а продолжал идти. Хотел попросит помощи господа, может кто-то сталкивался с подобными ситуациями, поделитесь опытом идеями, "бо вже нема сыл".
1. сморим на этот сайт. http://www.iwik.org/ipcountry/ Информация обновляется в 12:00 по CET (центральноевропейское время) 2 делаем Код: /tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CN /import file-name=CN Получаем адрес-лист с китайскими IP. Блокируем его в файрволл. При желании пишем скрипт и шедуллер, для автоматического обновления базы.
О круто, Илья, подскажите как теперь фаерволу скушать данный список? Не знал что можно так, обычно ручками добавлял ip адреса.
Так он занесется в адрес-лист CN далее, что-то типа Код: /ip firewall filter add chain=forward in-interface=wan protocol=tcp dst-port=25 src-address-list=CN action=drop
Ограничено 1. Памятью девайса (чтобы все влезло) 2. Объемом флеша, чтобы конфиг влез. ЗЫ. На hAP Lite AC видел создание более 30 тыс правил файрволла, после чего она таки зависла и ребутнулась с потерей этих правил ))