Mikrotik routeros v7 sürümü ile birlikte v6’da kullanılan kurallar tamamen değişti, bu nedenle v6’dan v7’ye geçerken biraz zorlanacaksınız.

BGP filtre yapısı tamamen yeniden tasarlandığı ve okunabilirliği değiştirildiği için internette döküman bulmak zorlaştı.

Bu yazıda v7’de kullanabileceğiniz bazı routing-filtrelerini bir araya getirdim.

Bogon-as

/routing/filter/num-list 

add list=BOGON-AS range=0 comment="RFC 7607"
add list=BOGON-AS range=23456 comment="RFC 4893 AS_TRANS"
add list=BOGON-AS range=64496-64511 comment="RFC 5398"
add list=BOGON-AS range=64512-65534 comment="RFC 6996"
add list=BOGON-AS range=65535 comment="RFC 7300"
add list=BOGON-AS range=65536-65551 comment="RFC 5398"
add list=BOGON-AS range=65552-131071 comment="Reserved"
add list=BOGON-AS range=4200000000-4294967294 comment="RFC 6996"

add list=BOGON-AS range=4294967294 comment="RFC 7300"
/routing/filter/rule 
add chain="GENERIC_PREFIX_LIST" rule="if (bgp-as-path [[:BOGON-AS:]]){ reject }"

Bogon-prefix IPv4

/routing/filter/rule

add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==0.0.0.0/8 && dst-len >= 8 ){ reject; }" comment="RFC 1122 'this' network"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==10.0.0.0/8 && dst-len >= 8){ reject; }" comment="RFC 1918 private space"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==100.64.0.0/10 && dst-len >= 10){ reject; }" comment="RFC 6598 Carrier grade nat space"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==127.0.0.0/8 && dst-len >= 8){ rejecet; }" comment="RFC 1122 localhost"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==169.254.0.0/16 && dst-len >= 16){ reject; }" comment="RFC 3927 link local"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==172.16.0.0/12 && dst-len >= 12){ reject; }" comment="RFC 1918 private space"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==192.0.2.0/24 && dst-len >= 24){ reject; }" comment="RFC 5737 TEST-NET-1"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==192.88.99.0/24 && dst-len >= 24){ reject; }" comment="RFC 7526 6to4 anycast relay"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==192.168.0.0/16 && dst-len >= 16){ reject; }" comment="RFC 1918 private space"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==198.18.0.0/15 && dst-len >= 15){ reject; }" comment="RFC 2544 benchmarking"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==198.51.100.0/24 && dst-len >= 24){ reject; }" comment="RFC 5737 TEST-NET-2"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==203.0.113.0/24 && dst-len >= 24){ reject; }" comment="RFC 5737 TEST-NET-3"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==224.0.0.0/4 && dst-len >= 4){ reject; }" comment="multicast"
add chain=GENERIC_PREFIX_LIST rule="if ( afi ipv4 && dst==240.0.0.0/4 && dst-len >= 4){ reject; }" comment="reserved"

Bogon-prefix IPv6

/routing/filter/rule

add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==::/8 && dst-len >= 8 ){ reject;}" comment="RFC 4291 IPv4-compatible, loopback, et al"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==0100::/64 && dst-len >= 64 ){ reject; }" comment="RFC 6666 Discard-Only"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==2001:2::/48 && dst-len >= 48 ){ reject; }" comment="RFC 5180 BMWG"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==2001:10::/28 && dst-len >= 28 ){ reject; }" comment="RFC 4843 ORCHID"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==2001:db8::/32 && dst-len >= 32 ){ reject; }" comment="RFC 3849 documentation"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==2002::/16 && dst-len >= 16 ){ reject; }" comment="RFC 7526 6to4 anycast relay"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==3ffe::/16 && dst-len >= 16){ reject; }" comment="RFC 3701 old 6bone"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==fc00::/7 && dst-len >=7 ){ reject; }" comment="RFC 4193 unique local unicast"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==fe80::/10 && dst-len >= 10){ reject; }" comment="RFC 4291 link local unicast"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==fec0::/10 && dst-len >= 10){ reject; }" comment="RFC 3879 old site local unicast"
add chain="GENERIC_PREFIX_LIST" rule="if ( afi ipv6 && dst==ff00::/8 && dst-len >= 8) { reject; }" comment="RFC 4291 multicast"

Default-filter

/routing/filter/rule

add chain="GENERIC_PREFIX_LIST" rule="set bgp-local-pref 115;"
add chain="GENERIC_PREFIX_LIST" rule="append bgp-communities <your ASN>:<peer ASN>;"
add chain="GENERIC_PREFIX_LIST" rule="accept"

Graceful-shutdown

/routing/filter/rule 

add chain="GENERIC_PREFIX_LIST" rule="if (bgp-communities includes graceful-shutdown) { set bgp-local-pref 0; }"

Long-paths

/routing/filter/rule

add chain="GENERIC_PREFIX_LIST" rule="if (bgp-path-len >= 100 ){ reject }"

No-transit-leak

/routing/filter/num-list

add list="TRANSIT_ASNS" range=174 comment="Cogent" 
add list="TRANSIT_ASNS" range=701 comment="UUNET" 
add list="TRANSIT_ASNS" range=1299 comment="Telia" 
add list="TRANSIT_ASNS" range=2914 comment="NTT Ltd." 
add list="TRANSIT_ASNS" range=3257 comment="GTT Backbone" 
add list="TRANSIT_ASNS" range=3320 comment="Deutsche Telekom AG (DTAG)" 
add list="TRANSIT_ASNS" range=3356 comment="Level3" 
add list="TRANSIT_ASNS" range=3491 comment="PCCW" 
add list="TRANSIT_ASNS" range=4134 comment="Chinanet" 
add list="TRANSIT_ASNS" range=5511 comment="Orange opentransit" 
add list="TRANSIT_ASNS" range=6453 comment="Tata Communications" 
add list="TRANSIT_ASNS" range=6461 comment="Zayo Bandwidth" 
add list="TRANSIT_ASNS" range=6762 comment="Seabone / Telecom Italia" 
add list="TRANSIT_ASNS" range=6830 comment="Liberty Global"
add list="TRANSIT_ASNS" range=7018 comment="AT&T"  

/routing/filter/rule 

add chain="NO-TRANSIT-IN" rule="if (bgp-as-path [[:TRANSIT_ASNS:]]){ reject }"

Reject-invalid

/routing/rpki

add address=172.65.0.2 group=rpki-validator port=8282

/routing/filter/rule

add chain="GENERIC_PREFIX_LIST" rule="rpki-verify rpki-validator"
add chain="GENERIC_PREFIX_LIST" rule="if (rpki invalid){ reject }"

Small-prefixes

/routing/filter/rule

add chain="GENERIC_PREFIX_LIST" rule="if (afi ipv4 && dst-len > 24){ reject }"
add chain="GENERIC_PREFIX_LIST" rule="if (afi ipv4 && dst-len < 7){ reject }" 
add chain="GENERIC_PREFIX_LIST" rule="if (afi ipv6 && dst-len > 48){ reject }"
add chain="GENERIC_PREFIX_LIST" rule="if (afi ipv6 && dst-len < 15){ reject }"

Bazı kuralların işlenmesinin çok uzun zaman alacağını unutmayın.

Çok fazla trafik harcayan özellikle youtube gibi web sitelerinin engellenmesi istenebilir, bu durumda mikrotik üzerinde üç şekilde erişim engelli uygulayabilirsiniz. Bunlar başlıca şu şekildedir;

TLS aracılığı ile

/ip firewall filter
add action=drop chain=forward protocol=tcp tls-host=youtube.com
add action=drop chain=forward protocol=tcp tls-host=googlevideo.com
add action=drop chain=forward protocol=tcp tls-host=*.youtube.*
add action=drop chain=forward protocol=tcp tls-host=*.googlevideo.*

Layer 7 Filtreme ile

/ip firewall layer7-protocol
add name=Youtube regexp=^.+(youtube.com|googlevideo.com).*\$
/ip firewall filter
add action=drop chain=forward layer7-protocol=Youtube

İçerik Filtrelemesi ile

/ip firewall filter
add action=drop chain=forward content=youtube.com 
add action=drop chain=forward content=googlevideo.com
add action=drop chain=forward content=.youtube.
add action=drop chain=forward content=.googlevideo.

Güvenlik duvarı kurallarınızı bir şekilde bozdunuz veya kaybettiyseniz aşağıdaki kuralları kullanabilirsiniz. Bu yapılandırmaya ek olarak güvenlik önlemleri de eklenmiştir, ddos ve spam aksiyonları ön tanımlı olarak alınmıştır. Onun dışında yer alan diğer yapılandırmalar kullanıcıya bırakılmıştır.

/ip firewall address-list add address=192.168.88.0/24 disabled=no list=support

/ip firewall address-list
add address=0.0.0.0/8 comment=Self-Identification [RFC 3330] disabled=no list=bogons
add address=10.0.0.0/8 comment=Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it disabled=yes list=bogons
add address=127.0.0.0/8 comment=Loopback [RFC 3330] disabled=no list=bogons
add address=169.254.0.0/16 comment=Link Local [RFC 3330] disabled=no list=bogons
add address=172.16.0.0/12 comment=Private[RFC 1918] - CLASS B # Check if you need this subnet before enable it disabled=yes list=bogons
add address=192.168.0.0/16 comment=Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it disabled=yes list=bogons
add address=192.0.2.0/24 comment=Reserved - IANA - TestNet1 disabled=no list=bogons
add address=192.88.99.0/24 comment=6to4 Relay Anycast [RFC 3068] disabled=no list=bogons
add address=198.18.0.0/15 comment=NIDB Testing disabled=no list=bogons
add address=198.51.100.0/24 comment=Reserved - IANA - TestNet2 disabled=no list=bogons
add address=203.0.113.0/24 comment=Reserved - IANA - TestNet3 disabled=no list=bogons
add address=224.0.0.0/4 comment=MC, Class D, IANA # Check if you need this subnet before enable it disabled=yes list=bogons

/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment=Add Syn Flood IP to the list connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment=Drop to syn flood list disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment=Port Scanner Detect disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment=Drop to port scan list disabled=no src-address-list=Port_Scanner
add action=jump chain=input comment=Jump for icmp input flow disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=input comment=Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment=Jump for icmp forward flow disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=forward comment=Drop to bogon list disabled=no dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment=Add Spammers to the list for 3 hours connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment=Avoid spammers action disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment=Accept DNS - UDP disabled=no port=53 protocol=udp
add action=accept chain=input comment=Accept DNS - TCP disabled=no port=53 protocol=tcp
add action=accept chain=input comment=Accept to established connections connection-state=established disabled=no
add action=accept chain=input comment=Accept to related connections connection-state=related disabled=no
add action=accept chain=input comment=Full access to SUPPORT address list disabled=no src-address-list=support
add action=drop chain=input comment=Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED disabled=yes
add action=accept chain=ICMP comment=Echo request - Avoiding Ping Flood, adjust the limit as needed disabled=no icmp-options=8:0 limit=2,5 protocol=icmp
add action=accept chain=ICMP comment=Echo reply disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment=Time Exceeded disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment=Destination unreachable disabled=no icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment=Drop to the other ICMPs disabled=no protocol=icmp
add action=jump chain=output comment=Jump for icmp output disabled=no jump-target=ICMP protocol=icmp

Kullanmakta olduğum yapılandırma ise Mikrotik Router Güvenlik Duvarı Kuralları makalesinde yer almakta olup isterseniz onu da kullanabilirsiniz.

Uzak masaüstü sistemleri aracılığı ile bulutta bilgisayar oyunlarını oynamak son dönemde ciddi bir popülerlik kazandı, hal böyle olunca insanlar yeni sistemler toplamak yerine eski sistemleri üzerinde bağlantı kalitelerini iyileştirmeyi tercih ederek bu sistemleri kullanmayı tercih etti.

Ülkemizde ise Turkcell işbirliğinde NVIDIA GeForce Now kullanıma sunuldu, hem Ankara hem de İstanbul olmak üzere 2 adet aktif pop noktası ile düşük gecikmeli ve sıkıntısız bir şekilde oyun oynama imkanı sunuldu.

ADSL/VDSL kullanan arkadaşlar haricinde Cable ve Fiber bağlantılar ile internete çıkan kullanıcılar bu NVIDIA GeForce Now işbirliğinden oldukça hoşlandı.

Peki network çok yoğun bir şekilde kullanılıyorsa GeForce Now kullanan birisi ne yapacak? Özellikle yoğun ağlarda bu bir çileye dönüşebiliyor. Anlık Loss ve Latency artmaları görülebiliyor. Bunların bir nebzede olsa önüne geçebilmek için işlemler yapabiliriz.

/queue simple 
add name=Geforce Now packet-marks=geforce-now-pkt target=192.168.88.0/24 comment=Geforce Now
/ip firewall address-list
add address=192.168.88.0/24 list=LOCAL
/ip firewall filter 
add action=add-dst-to-address-list address-list=Geforce-ip address-list-timeout=1d chain=forward dst-address-list=!LOCAL protocol=tcp dst-port=49003,49004,49005,49006 comment=Geforce #1
add action=add-dst-to-address-list address-list=Geforce-ip address-list-timeout=1d chain=forward dst-address-list=!LOCAL protocol=udp dst-port=49003,49004,49005,49006 comment=Geforce #2
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=geforce-ip new-connection-mark=conn-geforce passthrough=yes comment=Geforce Now
add action=mark-packet chain=forward connection-mark=conn-geforce new-packet-mark=geforce-pkt passthrough=no src-address-list=LOCAL
add action=mark-packet chain=forward connection-mark=conn-geforce new-packet-mark=geforce-pkt passthrough=no dst-address-list=LOCAL
/queue tree
add limit-at=1G max-limit=50M name=queue1 parent=bridge queue=default
add limit-at=100k max-limit=100M name=prio8-untagged packet-mark=no-mark parent=queue1 queue=default
add limit-at=1G max-limit=1G name=prio3-gaming packet-mark=gaming parent=queue1 priority=3 queue=default
/ip firewall mangle
add action=mark-packet chain=postrouting connection-mark=gaming new-packet-mark=gaming passthrough=no
add action=mark-connection chain=postrouting comment=NVIDIA Geforce Now dst-port=49003,49004,49005,49006 new-connection-mark=gaming out-interface=bridge protocol=udp

Şimdi bu işlemi yaptıktan sonra işaretli trafik dışında kalanlar için limit uygulanacak ve GeForce Now için darboğaz yaşanmayacaktır.

Güvenlik için Router üzerinde bir takım engelleme işlemleri yapmamız zorunludur bunun ana amacı iç network içinden virüs ve kötü amaçlı yazılımların yayılma eğilimlerini durdurmaya çalışmamızdır.

Hangi portların kullanılacağını mutlaka seçmemiz gerekiyor, eğer kontrol etmezsek başımıza istemediğimiz durumlar gelebilir. Virüslerin ve kötü amaçlı yazılımların yayılmasından ağımızı korumak için kullanılmayan ve/veya virüsler tarafından istismar edilmeye açık olan portları kapatmalıyız.

MikroTik üzerinde yer alan güvenlik duvarını kullanarak bu işlemi çok basit bir şekilde yapabilirsiniz.

/ip firewall filter
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=Blaster Worm
add chain=virus protocol=udp dst-port=135-139 action=drop comment=Messenger Worm
add chain=virus protocol=tcp dst-port=445 action=drop comment=Blaster Worm
add chain=virus protocol=udp dst-port=445 action=drop comment=Blaster Worm
add chain=virus protocol=tcp dst-port=593 action=drop comment=unknown
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=unknown
add chain=virus protocol=tcp dst-port=1080 action=drop comment=Drop MyDoom
add chain=virus protocol=tcp dst-port=1214 action=drop comment=unknown
add chain=virus protocol=tcp dst-port=1363 action=drop comment=ndm requester
add chain=virus protocol=tcp dst-port=1364 action=drop comment=ndm server
add chain=virus protocol=tcp dst-port=1368 action=drop comment=screen cast
add chain=virus protocol=tcp dst-port=1373 action=drop comment=hromgrafx
add chain=virus protocol=tcp dst-port=1377 action=drop comment=cichlid
add chain=virus protocol=tcp dst-port=2745 action=drop comment=Bagle Virus
add chain=virus protocol=tcp dst-port=2283 action=drop comment=Dumaru.Y
add chain=virus protocol=tcp dst-port=2535 action=drop comment=Beagle
add chain=virus protocol=tcp dst-port=2745 action=drop comment=Beagle.C-K
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment=MyDoom
add chain=virus protocol=tcp dst-port=3410 action=drop comment=Backdoor OptixPro
add chain=virus protocol=tcp dst-port=4444 action=drop comment=Worm
add chain=virus protocol=udp dst-port=4444 action=drop comment=Worm
add chain=virus protocol=tcp dst-port=5554 action=drop comment=Drop Sasser
add chain=virus protocol=tcp dst-port=8866 action=drop comment=Drop Beagle.B
add chain=virus protocol=tcp dst-port=9898 action=drop comment=Drop Dabber.A-B
add chain=virus protocol=tcp dst-port=10000 action=drop comment=Drop Dumaru.Y
add chain=virus protocol=tcp dst-port=10080 action=drop comment=Drop MyDoom.B
add chain=virus protocol=tcp dst-port=12345 action=drop comment=Drop NetBus
add chain=virus protocol=tcp dst-port=17300 action=drop comment=Drop Kuang2
add chain=virus protocol=tcp dst-port=27374 action=drop comment=Drop SubSeven
add chain=virus protocol=tcp dst-port=65506 action=drop comment=Drop PhatBot,Agobot, Gaobot
add chain=virus protocol=udp dst-port=12667 action=drop comment=Trinoo disabled=no
add chain=virus protocol=udp dst-port=27665 action=drop comment=Trinoo disabled=no
add chain=virus protocol=udp dst-port=31335 action=drop comment=Trinoo disabled=no
add chain=virus protocol=udp dst-port=27444 action=drop comment=Trinoo disabled=no
add chain=virus protocol=udp dst-port=34555 action=drop comment=Trinoo disabled=no
add chain=virus protocol=udp dst-port=35555 action=drop comment=Trinoo disabled=no
add chain=virus protocol=tcp dst-port=27444 action=drop comment=Trinoo disabled=no

İstenmeyen sonuçların filtrelenmesi çocukların ve gençlerin korunması amacıyla MikroTik üzerinde yapılması gereken değişikliklere değinmek istiyorum.

Bu yapacağımız işlem neticesinde youtube aramalarından cinsel içerikli sonuçları çıkartacağız ve çocuklarla kullanırken veya kendiniz youtube\’de gezerken daha temiz sonuçlar alacaksınız.

/ip dns static
add address=216.239.38.119 name=youtube.com comment=Youtube SafeSearch
add address=216.239.38.119 name=www.youtube.com comment=Youtube SafeSearch
add address=216.239.38.119 name=https://www.youtube.com comment=Youtube SafeSearch
add address=216.239.38.119 name=m.youtube.com comment=Youtube SafeSearch
add address=216.239.38.119 name=https://m.youtube.com comment=Youtube SafeSearch
add address=216.239.38.119 name=youtubei.googleapis.com comment=Youtube SafeSearch
add address=216.239.38.119 name=https://youtubei.googleapis.com comment=Youtube SafeSearch
add address=216.239.38.119 name=youtube.googleapis.com comment=Youtube SafeSearch
add address=216.239.38.119 name=https://youtube.googleapis.com comment=Youtube SafeSearch
add address=216.239.38.119 name=www.youtube-nocookie.com comment=Youtube SafeSearch

Olayımız basit, youtube\’nin filtreli sonuç sunan IP adresini direk olarak Routerimiz üzerine statik DNS olarak tanımlıyoruz. Gelen sonuçlar ise tertemiz olacak. Aşılması kolay olsa da oldukça işlevsel bir özellik olduğunu bilin.

Toplantı veya video konferansı düzenlemek için kullanılan Zoom üzerinde trafik optimizasyonu yapmamız oldukça önemli, Uzaktan çalışılan şu günlerde ortak ağlarda kullanılan diğer uygulamaların Zoom toplantılarını kesintiye uğratmasını istemeyiz, bu sebeple MikroTik Router üzerinde gerekli önlemleri almalıyız.

Diğer istemciler internette gezinirken Zoom kullananların rahatsız edilmemesi için kullanılan bant genişliğine öncelik vereceğiz böylelikle toplantılar ve/veya konferanslarda sorun yaşanılmayacak.

WinBox üzerinden New Terminal diyerek komut penceremizi açıyoruz ve sırasıyla aşağıdaki komutları giriyoruz.

Zoom için öncelikli kuyruk oluşturuyoruz ve kullanacağımız networkü tanımlıyoruz.

/queue simple
add name=Zoom packet-marks=zoom-pkt target=192.168.88.0/24 comment=ZOOM

Zoom tarafından kullanılan portlara gerekli izinleri veriyoruz ve işaretlememizi yapıyoruz.

/ip firewall filter
add action=add-dst-to-address-list address-list=zoom-ip address-list-timeout=1d chain=forward dst-address-list=!LOCAL protocol=tcp dst-port=3478,3479,5090,5091,8801-8810 comment=ZOOM
add action=add-dst-to-address-list address-list=zoom-ip address-list-timeout=1d chain=forward dst-address-list=!LOCAL protocol=udp dst-port=3478,3479,5090,5091,8801-8810

Ardından trafiği yönlendirecek ve işaretleyecek komutlarımızı giriyoruz.

/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=zoom-ip new-connection-mark=conn-zoom passthrough=yes comment=ZOOM
add action=mark-packet chain=forward connection-mark=conn-zoom new-packet-mark=zoom-pkt passthrough=no src-address-list=LOCAL
add action=mark-packet chain=forward connection-mark=conn-zoom new-packet-mark=zoom-pkt passthrough=no dst-address-list=LOCAL

Son olarak adres listemize tanımlama yapıyoruz, zaten daha önceden iç ağ için tanımlama yaptıysanız onu kullanabilirsiniz.

/ip firewall address-list
add address=192.168.88.0/24 list=LOCAL

Atak sırasında IP adreslerinin engellenebilmesi için adres listelerimizi oluşturalım.

/ip firewall address-list
add list=ddos-attackers
add list=ddos-target

Her 10 saniyede bir hedef ve kaynak adresine göre paketleri eşleştireceğiz. Bu kural, belirli bir oranda oluşan paket aşımına kadar çalışmayacak ardından devreye girecek.

/ip firewall filter
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-target address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos
/ip firewall raw
add action=drop chain=prerouting dst-address-list=ddos-target src-address-list=ddos-attackers
/ip settings set tcp-syncookies=yes
/ip firewall filter add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s protocol=tcp tcp-flags=syn,ack

Router üzerinde gerekli güvenlik yapılandırmalarından önce bağlantı kurulacak TCP ve UDP servislerini belirleyip trafiği sınıflandıracağız. TCP ve UDP için hem kaynak bağlantı noktasını (genellikle 1024-65535) hem de hedef bağlantı noktasını kontrol ettiğimizi unutmayın.

Aşağıdaki kurallar dışında diğer bütün protokollerin geçersiz kalacağını unutmayınız. Kullandığınız protokolleri ayrıca listeye ekleyerek kullanabilirsiniz.

/ ip firewall mangle
add chain=prerouting protocol=tcp connection-state=new action=jump jump-target=tcp-services
add chain=prerouting protocol=udp connection-state=new action=jump jump-target=udp-services
add chain=prerouting connection-state=new action=jump jump-target=other-services
# TCP Services
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=20-21 action=mark-connection new-connection-mark=ftp passthrough=no
add chain=tcp-services protocol=tcp src-port=513-65535 dst-port=22 action=mark-connection new-connection-mark=ssh passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=23 action=mark-connection new-connection-mark=telnet passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=25 action=mark-connection new-connection-mark=smtp passthrough=no
add chain=tcp-services protocol=tcp src-port=53 dst-port=53 action=mark-connection new-connection-mark=dns passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=53 action=mark-connection new-connection-mark=dns passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=80 action=mark-connection new-connection-mark=http passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=110 action=mark-connection new-connection-mark=pop3 passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=113 action=mark-connection new-connection-mark=auth passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=119 action=mark-connection new-connection-mark=nntp passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=143 action=mark-connection new-connection-mark=imap passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=161-162 action=mark-connection new-connection-mark=snmp passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=443 action=mark-connection new-connection-mark=https passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=465 action=mark-connection new-connection-mark=smtps passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=993 action=mark-connection new-connection-mark=imaps passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=995 action=mark-connection new-connection-mark=pop3s passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=1723 action=mark-connection new-connection-mark=pptp passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=2379 action=mark-connection new-connection-mark=kgs passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=3128 action=mark-connection new-connection-mark=proxy passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=3389 action=mark-connection new-connection-mark=win-ts passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=4242-4243 action=mark-connection new-connection-mark=emule passthrough=no
add chain=tcp-services protocol=tcp src-port=4661-4662 dst-port=1024-65535 action=mark-connection new-connection-mark=overnet passthrough=no
add chain=tcp-services protocol=tcp src-port=4711 dst-port=1024-65535 action=mark-connection new-connection-mark=emule passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=5900-5901 action=mark-connection new-connection-mark=vnc passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=6667-6669 action=mark-connection new-connection-mark=irc passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=6881-6889 action=mark-connection new-connection-mark=bittorrent passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=8080 action=mark-connection new-connection-mark=http passthrough=no
add chain=tcp-services protocol=tcp src-port=1024-65535 dst-port=8291 action=mark-connection new-connection-mark=winbox passthrough=no
add chain=tcp-services protocol=tcp action=mark-connection new-connection-mark=other-tcp passthrough=no
# UDP Services
add chain=udp-services protocol=udp src-port=1024-65535 dst-port=53 action=mark-connection new-connection-mark=dns passthrough=no
add chain=udp-services protocol=udp src-port=1024-65535 dst-port=123 action=mark-connection new-connection-mark=ntp passthrough=no
add chain=udp-services protocol=udp src-port=1024-65535 dst-port=1701 action=mark-connection new-connection-mark=l2tp passthrough=no
add chain=udp-services protocol=udp src-port=1024-65535 dst-port=4665 action=mark-connection new-connection-mark=emule passthrough=no
add chain=udp-services protocol=udp src-port=1024-65535 dst-port=4672 action=mark-connection new-connection-mark=emule passthrough=no
add chain=udp-services protocol=udp src-port=4672 dst-port=1024-65535 action=mark-connection new-connection-mark=emule passthrough=no
add chain=udp-services protocol=udp src-port=1024-65535 dst-port=12053 action=mark-connection new-connection-mark=overnet passthrough=no
add chain=udp-services protocol=udp src-port=12053 dst-port=1024-65535 action=mark-connection new-connection-mark=overnet passthrough=no
add chain=udp-services protocol=udp src-port=36725 dst-port=1024-65535 action=mark-connection new-connection-mark=skype passthrough=no
add chain=udp-services protocol=udp connection-state=new action=mark-connection new-connection-mark=other-udp passthrough=no
# Others
add chain=other-services protocol=icmp icmp-options=8:0-255 action=mark-connection new-connection-mark=ping passthrough=no
add chain=other-services protocol=gre action=mark-connection new-connection-mark=gre passthrough=no
add chain=other-services action=mark-connection new-connection-mark=other passthrough=no

Yönettiğiniz Network’te zaman zaman trafikler yükseliyor ve P2P trafiği görüyor olabilirsiniz bu kimi zaman ofis vb ortamlarda oldukça can sıkıcı olabiliyor, Layer 7’de yapacağımız bir kaç işlem ile peerların erişimlerini keseceğiz.

Uygulayacağımız port kısıtlamaları da bu bağlamda oldukça işe yarayacaktır.

/ip firewall layer7-protocol
add comment="Block BitTorrent" name=layer7-bittorrent-exp regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"
/ip firewall filter
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=2m chain=forward layer7-protocol=\layer7-bittorrent-exp src-address=192.168.88.0/24 src-address-list=\!allow-bit
add action=drop chain=forward dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp src-address-list=Torrent-Conn
add action=drop chain=forward dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp src-address-list=Torrent-Conn

Routerimiz üzerinde NTP ayarlarının yapılması oldukça önemli otomatik olarak mikrotik gerekli güncelleme işlemlerini yapmadığı için biz manuel olarak ayarlamalıyız. MikroTik’de IP üzerinden bu işler yürüdüğü için alan adı üzerinden işlem yaparken o gün kayıt ettiğiniz IP adresi üzerinden sorgulama yapar, ama ya IP adresi değişirse? İşte o zaman işiniz biraz karışıyor.

Önce Winbox uygulamasına giriş yapıyoruz, burada direk aşağıdaki rotaya ilerliyoruz ve “SNTP Client” sekmesini seçiyoruz.

Bu noktada hangi ntp sunucularını kullanacaksanız tercihinizi yapmalısınız, ben bu konuda CloudFlare’nin sağladığı zaman sunucularını kullanacağım yani time.cloudflare.com ve buna bağlı olarak 162.159.200.1 ip adresini kullanacağım görseldeki gibi olacak

Ne demiştik, alan adı kullanıyoruz bu ip adresleri değişebilir, normal bir durumdur. Bunun önüne geçebilmek için ise mikrotik üzerinde zamanlayıcı ve buna bağlı kural tanımlıyoruz.

Terminal aracılığı ile yapmak isterseniz.

/system scheduler
add interval=1d name=daily_update_ntp_scheduler on-event="/system ntp client set enabled=yes primary-ntp=[:resolve time.cloudflare.com]" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=Jan/23/2021 start-time=10:00:00

Winbox üzerinden arayüz ile yapmak isterseniz. “System > Scheduler” sekmesine geçiş yapıyoruz.

Açılan sayfada “+” tıklıyoruz ve yeni açılan pencerede ayarları aşağıdaki gibi yapıyoruz. monitoring için dude kullanıyorsanız “Policy” üzerinden seçmeyi unutmayın.

Ardından “Apply” demeniz yeterli, her gün aynı saatte bu komut çalışacak ve NTP üzerindeki ip bilgisini gerektiği gibi güncelleyecek.