日本电子维修技术 网络MikroTik_RouterOS_主动屏蔽恶意IP脚本分享

今天测试，发现东北大学网络中心又恢复了。看来昨儿是机房或者网站维护吧。

21-07-07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

9楼大佬那儿有现成的rsc文件分享，感谢大佬！！

梯子9#



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


今天早上发现东大网络服务中心的恶意IP页面不可以访问了，暂时不知道什么原因。。。

http://antivirus.neu.edu.cn/scan/scanlist.php

http://antivirus.neu.edu.cn/scan/ssh.php

找到了别的合并源，

http://blackip.ustc.edu.cn/txt.php

下面分享下使用这些IP源。


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

首先用debian或者其他linux系统，制作rsc文件:

注意：该命令是一整行，请自行删除中文就行了。

sudo curl -s https://blackip.ustc.edu.cn/list.php?txt |sed -e '/:/d'|sed -e '/^#.*/d' -e 's/^/add address=/g' -e 's/$/ list=zzblo删除我
cked/g'|sed -e $'1i\\\n/ip firewall address-list' -e $'1i\\\nremove [/ip firewall address-list find list=zzblocked]' |sed '$a \/' |s删除我
ed '$a /file remove zzblocked.rsc'>zzblocked.rsc && mv zzblocked.rsc /usr/share/nginx/html/zzb删除我
locked_"$(date +"%y%m%d%H%M")".rsc && cp /usr/share/nginx/html/zzblo删除我
cked_"$(date +"%y%m%d%H%M")".rsc /usr/share/nginx/html/zzblocked.rsc

以上为一个命令，会自动下载ip列表，删除ipv6地址，增加

rsc文件的前面是
/ip firewall address-list
remove [/ip firewall address-list find list=zzblocked]

中间是这样的命令
add address=1.57.194.146 list=zzblocked

最后是删除本rsc的命令
/file remove zzblocked.rsc

rsc文件的路径可以子自定义，在命令的最后可以看到。


得到rsc文件后，如果你配置了web服务，可以用ros的fetch下载并使用本rsc文件。

脚本如下，假设本地的web服务器ip地址是192.168.50.110。

仅供参考：

# jul/06/2021 14:45:20 by RouterOS 6.47.10
#
#
#
/system script
add dont-require-permissions=no name=zzblocked_update_210706 owner=garindu \
    policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    source=":local zzblockedfile \"zzblocked.rsc\";\r\
    \n:local blockedurl \"192.168.50.110\";\r\
    \n:local zzblockedpath \"/zzblocked.rsc\";\r\
    \n\r\
    \n/tool fetch mode=http \\\r\
    \nurl=(\"http://\".(\$blockedurl).(\$zzblockedpath)) \\\r\
    \ndst-path=(\$zzblockedfile);\r\
    \n:log info message=([/file get (\$zzblockedfile) contents]);\r\
    \n/\r\
    \n:delay 5;\r\
    \n/import file=(\$zzblockedfile);\r\
    \n:log info message=\"update blockedIP\";\r\
    \n/\r\
    \n\r\
    \n/file remove (\$zzblockedfile);\r\
    \n:log info message=\"del blocked.rsc\";"



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
然后filter中，合适的位置drop这些ip即可。
注： in-interface-list请修改为自己的WAN/LAN lists名字或者用in-interface匹配

# jul/06/2021 14:47:49 by RouterOS 6.47.10
#
#
#
/ip firewall filter
add action=drop chain=input comment="zzBLOCKED IP:  input Drop all to WANs" \
    in-interface-list=WANs src-address-list=zzblocked
add action=drop chain=forward comment="zzBLOCKED IP:  forward Drop all" \
    src-address-list=zzblocked
add action=drop chain=forward comment="zzBLOCKED IP:  forward Drop all" \
    dst-address-list=zzblocked

~~~~~~~~~~~~~~~
以下示例filter rules请匹配修改为自己的interface list，含9楼大佬的scaners list：

/ip firewall filter

add action=accept chain=input comment="default: Accept LANs to WINBOX" \
    dst-port=8291 in-interface-list=LANs protocol=tcp



add action=drop chain=input comment="scaners_IP:  input Drop all to WANs" \
    in-interface-list=WANs log-prefix="input drop scaners" src-address-list=\
    scaners
add action=drop chain=input comment="zzBLOCKED IP:  input Drop all to WANs" \
    in-interface-list=WANs src-address-list=zzblocked


add action=drop chain=input comment="L2TP brutforce IP IPSec drop" \
    connection-state=new log=yes protocol=ipsec-esp src-address-list=\
    l2tp-brutforce
add action=drop chain=input comment="L2TP brutforce IP drop" \
    connection-state=new dst-port=1701,500,4500 log=yes protocol=udp \
    src-address-list=l2tp-brutforce
add action=add-src-to-address-list address-list=l2tp-brutforce \
    address-list-timeout=2h chain=input comment="L2TP brutforce IP to list" \
    connection-state=new dst-port=1701 ipsec-policy=in,ipsec log=yes \
    log-prefix="l2tp-brutforce added" protocol=udp src-address-list=probe4
add action=add-src-to-address-list address-list=probe4 address-list-timeout=\
    1m chain=input comment="L2TP brutforce protection stage 4" \
    connection-state=new dst-port=1701 ipsec-policy=in,ipsec log=yes \
    log-prefix="probe4 added" protocol=udp src-address-list=probe3
add action=add-src-to-address-list address-list=probe3 address-list-timeout=\
    1m chain=input comment="L2TP brutforce protection stage 3" \
    connection-state=new dst-port=1701 ipsec-policy=in,ipsec log=yes \
    log-prefix="probe3 added" protocol=udp src-address-list=probe2
add action=add-src-to-address-list address-list=probe2 address-list-timeout=\
    1m chain=input comment="L2TP brutforce protection stage 2" \
    connection-state=new dst-port=1701 ipsec-policy=in,ipsec log=yes \
    log-prefix="probe2 added" protocol=udp src-address-list=probe1
add action=add-src-to-address-list address-list=probe1 address-list-timeout=\
    1m chain=input comment="L2TP brutforce protection stage 1" \
    connection-state=new dst-port=1701 ipsec-policy=in,ipsec log=yes \
    log-prefix="probe1 added" protocol=udp tcp-flags=""
add action=add-dst-to-address-list address-list=l2tp-brutforce \
    address-list-timeout=2h chain=output comment=\
    "L2TP-brutforce protection\A3\BA L2TP brutforce IP to list v2" content=\
    "M=bad" dst-address-list=l2tp-brutforce-level3 log=yes log-prefix=\
    "l2tp-brutforce dst added"
add action=add-dst-to-address-list address-list=l2tp-brutforce-level3 \
    address-list-timeout=2m chain=output comment=\
    "L2TP-brutforce protection stage 3  v2" content="M=bad" dst-address-list=\
    l2tp-brutforce-level2 log=yes log-prefix="l2tp-brutforce-level3 added"
add action=add-dst-to-address-list address-list=l2tp-brutforce-level2 \
    address-list-timeout=1m chain=output comment=\
    "L2TP-brutforce protection stage 2  v2" content="M=bad" dst-address-list=\
    l2tp-brutforce-level1 log=yes log-prefix="l2tp-brutforce-level2 added"
add action=add-dst-to-address-list address-list=l2tp-brutforce-level1 \
    address-list-timeout=1m chain=output comment=\
    "L2TP-brutforce protection stage 1  v2" content="M=bad" log=yes \
    log-prefix="l2tp-brutforce-level1 added"
add action=accept chain=input comment="L2TP allow only with IPsec" dst-port=\
    1701 in-interface-list=WANs ipsec-policy=in,ipsec protocol=udp
add action=drop chain=input comment="Drop L2TP without IPsec" dst-port=1701 \
    in-interface-list=WANs protocol=udp
add action=accept chain=input comment="L2TP allow" dst-port=500,4500 \
    in-interface-list=WANs protocol=udp
add action=accept chain=input comment="IPSec enable" in-interface-list=WANs \
    protocol=ipsec-esp
add action=accept chain=input comment="accept ipsec: ipsec-ah" disabled=yes \
    protocol=ipsec-ah
add action=accept chain=input comment="accept ipsec: gre" disabled=yes \
    protocol=gre



add action=fasttrack-connection chain=forward comment=\
    "defconf: ALL fasttrack" connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related" connection-state=\
    established,related
add action=accept chain=input comment=\
    "defconf: accept established,related" connection-state=\
    established,related

add action=drop chain=forward comment="scaners_IP:  forward Drop all" log=yes \
    log-prefix="fw drop from scaners" src-address-list=scaners
add action=drop chain=forward comment="scaners_IP:  forward Drop to all" \
    disabled=yes dst-address-list=scaners log=yes log-prefix=\
    "fw drop to scaners"
add action=drop chain=forward comment="zzBLOCKED IP:  forward Drop all" log=\
    yes log-prefix="fw drop from zzblocked_" src-address-list=zzblocked
add action=drop chain=forward comment="zzBLOCKED IP:  forward Drop to all" \
    disabled=yes dst-address-list=zzblocked log=yes log-prefix=\
    "fw drop to zzblocked_"

评论
留个痕迹。。。。嘿嘿嘿

评论
感谢，部署试一下，路由器总有人扫描

评论

$'1 不太对吧，应该只有'1?

评论
在用MikroTik的CRS309和CRS305，路由模式，请问能用这个脚本吗？
这个脚本到底在屏蔽什么ip？广告？

评论

您试试。。。

评论


路由模式可以用。

一般就恶意程序源IP吧。

DNS端口扫描、mail端口扫描、ssh telnet端口扫描。

winbox也有

DNS.png (84.43 KB, 下载次数: 0)

2021-7-6 16:22 上传

addr_dns_ddos.png (47.21 KB, 下载次数: 0)

2021-7-6 16:22 上传

评论
感谢分享，疗效显著啊，刚加上就拦截了几个，虽然对应的端口也没开......

评论
https://ros6.com/?action=show&id=250
我觉得楼主可以试试我这个

评论

主动拦截ip对路由器和局域网安全很友好。mikrotik的工程师建议这么做哈哈哈

前提是路由器放得下，扛得住规则。

评论

感谢大佬！必须加进路由！

评论

大佬看看9楼

评论

似乎是封杀一些来自公网的撞库ip，我的ROS都是作为内网旁路由用，最外层防火墙用的就是简单的iptables，估计用不上这东西了。

评论

主要是各种恶意扫描吧。
9楼的链接里有给linux用的iptables/ipset。

评论

直接导入ROS了 就生效了嘛？
我看就写了一些IP地址并且标记了一下 好像没有不回应这些地址的配置信息嘛。。。。。。

评论

这个不错，谢谢分享

评论
感谢，正好需要部署一下

评论

filter或者raw表再自己配置下就好啦。提供了ip lists不久都好说了。

评论

问题是不会。。。。。。

评论

在防火墙里添加一个规则，把scaners分组drop掉

评论

看我帖子最后

评论


哈哈哈 以我浅显的理解 改了WANS和地址列表的名字 用终端打进去了  效果很明显 马上就有数据包给丢弃了

太谢谢了

评论

搞好了 谢谢

评论
今天测试，发现东北大学网络中心又恢复了。看来昨儿是机房或者网站维护吧。

21-07-07

评论

导入后只有黑名单的IP列表，还需要自行配置防火墙调用这个列表才行哦。

评论

弄好了 楼主首页更新了命令

评论
这个先mark下备用

评论
沒有免LINUX版嗎

评论

http://blackip.ustc.edu.cn/txt.php
和9楼

都有写，iptables和ipset如何使用

评论

一直用熊大的，很不错熊大的沒有IPV6..
樓主的TXT版本有IPV6
IPV6有沒需要也拉黑掉?

评论

么有。

我使用的IP源lists，是有IPV6。但是做出来的rsc文件我把ipv6地址去掉了。

一是因为我自己没用ipv6，

二是部署时候，ipv4和ipv6命令不一样吧我记得。

评论


由于没有足够多的IPV6日志节点，所以无法提供IPV6的黑名单IP库。目前IPV6的普及程度，搞IPV6难。

评论


大佬大佬，这个list把1.1.1.1也包含进去了。。。

您看看能不能把以下公共DNS做一个排除

/ip firewall address-list
add address=185.236.104.104 comment=FlastStart list=DNSs
add address=185.236.105.105 comment=FlastStart list=DNSs
add address=dns.nextdns.io comment=NextDNS list=DNSs
add address=202.106.196.115 comment=Beijing list=DNSs
add address=202.106.46.151 comment=Beijing list=DNSs
add address=219.141.136.10 comment=Beijing list=DNSs
add address=219.141.140.10 comment=Beijing list=DNSs
add address=80.80.80.80 comment=Freenom list=DNSs
add address=80.80.81.81 comment=Freenom list=DNSs
add address=74.82.42.42 comment=HurricaneElectric list=DNSs
add address=66.220.18.42 comment=HurricaneElectric list=DNSs
add address=176.103.130.130 comment=AdGuard list=DNSs
add address=176.103.130.131 comment=AdGuard list=DNSs
add address=176.103.130.132 comment=AdGuard list=DNSs
add address=dns.adguard.com comment=AdGuard list=DNSs
add address=91.239.100.100 comment=DenmarkUncensored list=DNSs
add address=89.233.43.71 comment=DenmarkUncensored list=DNSs
add address=208.67.220.220 comment=OpenDNS list=DNSs
add address=208.67.222.222 comment=OpenDNS list=DNSs
add address=208.67.222.220 comment=OpenDNS list=DNSs
add address=208.67.222.123 comment=OpenDNS list=DNSs
add address=208.67.220.123 comment=OpenDNS list=DNSs
add address=168.126.63.1 comment=Kornet list=DNSs
add address=168.126.63.2 comment=Kornet list=DNSs
add address=210.220.163.82 comment=SK-Broadband list=DNSs
add address=219.250.36.130 comment=SK-Broadband list=DNSs
add address=164.124.101.2 comment=LG-DNS list=DNSs
add address=203.248.252.2 comment=LG-DNS list=DNSs
add address=164.124.107.9 comment=LG-DNS list=DNSs
add address=203.248.242.2 comment=LG-DNS list=DNSs
add address=84.200.69.80 comment=DNSWATCH list=DNSs
add address=84.200.70.40 comment=DNSWATCH list=DNSs
add address=101.101.101.101 comment=hinet list=DNSs
add address=101.102.103.104 comment=hinet list=DNSs
add address=168.95.1.1 comment=hinet list=DNSs
add address=168.95.192.1 comment=hinet list=DNSs
add address=195.46.39.39 comment=SafeDNS list=DNSs
add address=195.46.39.40 comment=SafeDNS list=DNSs
add address=8.26.56.26 comment=Comodo list=DNSs
add address=8.20.247.20 comment=Comodo list=DNSs
add address=202.12.27.33 comment=jp-dns list=DNSs
add address=202.216.228.18 comment=jp-dns list=DNSs
add address=203.119.1.1 comment=jp-dns list=DNSs
add address=202.12.30.131 comment=jp-dns list=DNSs
add address=9.9.9.9 comment=IBM list=DNSs
add address=149.112.112.112 comment=IBM list=DNSs
add address=209.244.0.3 comment=level3 list=DNSs
add address=209.244.0.4 comment=level3 list=DNSs
add address=4.2.2.1 comment=level3 list=DNSs
add address=4.2.2.2 comment=level3 list=DNSs
add address=4.2.2.3 comment=level3 list=DNSs
add address=4.2.2.4 comment=level3 list=DNSs
add address=4.2.2.5 comment=level3 list=DNSs
add address=4.2.2.6 comment=level3 list=DNSs
add address=156.154.70.1 comment=UltraDNS list=DNSs
add address=156.154.71.1 comment=UltraDNS list=DNSs
add address=199.85.126.10 comment=NortonDNS list=DNSs
add address=199.85.127.10 comment=NortonDNS list=DNSs
add address=199.85.126.20 comment=NortonDNS list=DNSs
add address=199.85.127.20 comment=NortonDNS list=DNSs
add address=199.85.126.30 comment=NortonDNS list=DNSs
add address=199.85.127.30 comment=NortonDNS list=DNSs
add address=64.6.64.6 comment=Verisign list=DNSs
add address=64.6.65.6 comment=Verisign list=DNSs
add address=216.146.35.35 comment=DynDNS list=DNSs
add address=216.146.36.36 comment=DynDNS list=DNSs
add address=77.88.8.8 comment=Yandex list=DNSs
add address=77.88.8.1 comment=Yandex list=DNSs
add address=77.88.8.88 comment=Yandex list=DNSs
add address=77.88.8.2 comment=Yandex list=DNSs
add address=77.88.8.7 comment=Yandex list=DNSs
add address=77.88.8.3 comment=Yandex list=DNSs
add address=109.69.8.51 comment=puntCAT list=DNSs
add address=114.114.114.114 comment=NanjingXinfeng list=DNSs
add address=114.114.115.115 comment=NanjingXinfeng list=DNSs
add address=114.114.114.119 comment=NanjingXinfeng list=DNSs
add address=114.114.115.119 comment=NanjingXinfeng list=DNSs
add address=114.114.114.110 comment=NanjingXinfeng list=DNSs
add address=114.114.115.110 comment=NanjingXinfeng list=DNSs
add address=123.207.22.79 comment=qieyz list=DNSs
add address=111.230.37.44 comment=qieyz list=DNSs
add address=223.6.6.6 comment=aliDNS list=DNSs
add address=223.5.5.5 comment=aliDNS list=DNSs
add address=117.50.11.11 comment=oneDNS list=DNSs
add address=117.50.22.22 comment=oneDNS list=DNSs
add address=119.29.29.29 comment=DNSPod list=DNSs
add address=119.28.28.28 comment=DNSPod list=DNSs
add address=182.254.118.118 comment=DNSPod list=DNSs
add address=182.254.116.116 comment=DNSPod list=DNSs
add address=101.226.4.6 comment=dnsPai list=DNSs
add address=218.30.118.6 comment=dnsPai list=DNSs
add address=123.125.81.6 comment=dnsPai list=DNSs
add address=140.207.198.6 comment=dnsPai list=DNSs
add address=1.2.4.8 comment=CNNIC list=DNSs
add address=210.2.4.8 comment=CNNIC list=DNSs
add address=101.6.6.6 comment=qinghua list=DNSs
add address=202.141.162.123 comment=zhongkeda list=DNSs
add address=202.141.178.13 comment=zhongkeda list=DNSs
add address=202.38.93.153 comment=zhongkeda list=DNSs
add address=180.76.76.76 comment=BaiduDNS list=DNSs
add address=8.8.8.8 comment=GoogleDNS list=DNSs
add address=8.8.4.4 comment=GoogleDNS list=DNSs
add address=1.1.1.1 comment=CloudflareDNS list=DNSs
add address=1.0.0.1 comment=CloudflareDNS list=DNSs
add address=77.109.148.136 comment=Switzerland-Xiala list=DNSs
add address=77.109.148.137 comment=Switzerland-Xiala list=DNSs
add address=rubyfish.cn comment=HongyuDNS list=DNSs
add address=185.222.222.222 comment=dns.sb list=DNSs
add address=185.184.222.222 comment=dns.sb list=DNSs
add address=doh.dns.sb comment=dns.sb list=DNSs
add address=dns.quad9.net comment=IBM list=DNSs
add address=dns.alidns.com comment=aliDNS list=DNSs
add address=doh.360.cn comment=360dns list=DNSs
add address=dot.360.cn comment=360dns list=DNSs
add address=dns.cfiec.net comment=cfiec list=DNSs
add address=dns.pub comment=DNSPod list=DNSs
add address=doh.pub comment=DNSPod list=DNSs
add address=dns.google comment=GoogleDNS_doh list=DNSs

评论

1.1.1.1进去了确实很意外，我从数据库把它移除了，但不排除他再次进来。可以使用添加白名单的方式，放在这个黑名单前面即可。

评论

直接把你这个DNSs放到firewall里加放行规则放到scaner之前就好了吧~

评论

我filter里有针对dns得一组规则，不过是在中间。

这个block的我调整了策略。input drop掉，然后from blocked IP的非est、related的drop掉。内网主动往blocked ip的流不限制了

评论

嗯嗯，很奇怪今天没有彻底放行这些dns规则，就发现了路由5678和53的通讯，

in:pppoe-out1 out:(unknown 0), proto UDP, 180.76.76.76:53->111.193.83.162:5678, len 124

但是不知道是这些dns服务器搞路由，还是路由主动向dns发起的

评论
我是这么做的：
1、设置触发规则，如果wan输入端扫描ssh、telnet、ftp、winbox、www端口就把ip列入到封禁列表24小时；

firewall.PNG (176.69 KB, 下载次数: 0)

2021-7-14 12:14 上传

2、封禁列表会根据触发规则自动更新。根据我的观察，这些IP以东南亚的居多，国内的不多，大部分都是扫描端口性质的，而且是使用工具，针对单个IP连续扫描15分钟以上。

firewall2.PNG (1.31 MB, 下载次数: 0)

2021-7-14 12:16 上传

这样做的好处就是封禁是针对动作做出的，IP实时更新，封禁时间也可以自己定义。

评论


这个日志的意思是，链接从你外网口进来，并且是由180.76.76.76:53主动发起，对你的公网IP。我就怀疑是不是这DNS服务器本身有主动探测客户端的什么端口。才会被触发到黑名单里的。

评论
哪位大哥把这个做个详细教程呀 弄了几天没弄好 只是把IP导进去了 规则不会弄呀

评论


就是这个意思。。。5678是ros的一个发现服务的端口。

我之前放行了dns ip 53端口来的流，后来发现不安全。结果还真是发现有猫腻。看来不作恶很难。

评论

感谢分享。这样的rules我的filter下面也有。主动屏蔽list理论更安全些吧。

评论

看一楼后面的内容

评论

都弄了呀 脚本也放进去运行了 但是防火墙还是没有什么东西！

评论

我那个filter规则里，你要把in-interface-list=WANs
这个WANs改成你自己的list。如果没有list就改成wan口网卡  in-interface=WAN

评论


我还发现过对方用80，443作为源端口进行探测的，真的是防不甚防。

评论

ros.png (24.79 KB, 下载次数: 0)

2021-7-14 14:27 上传

脚本弄好就这样的 那个防火墙没出来什么 这个三是另外的东西

评论

因该还是你没有设置list。。。

这三个是允许通过已建立的连接。不过您这个防火墙空荡荡。没有默认的防火墙吗

评论

没有呀 小白一个 一直想找个好的教程研究下的

评论

关键字“routeros入门到精通v63e”

评论

好像是我错怪dns 服务器了。

搜了下，导致这个错误的是ros的detect internet功能。

这个功能好像是会莫让向8.8.8.8以及自定义的dns服务器发送dns查询，但是路由表里看不到这个查询的connection，而且，这个查询还不被建立为related。。。

感觉是个bug...

所以目前关闭这个detect internet功能了。

评论

原来如此，涨姿势了

评论
非常感谢，收藏

评论
收藏先，慢慢看

评论
先收藏一下，明天慢慢看

评论

这个很灵，搞设置好就log了大堆的封禁记录。谢谢 电路 电子 维修 我现在把定影部分拆出来了。想换下滚，因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗？ 评论 认真看，认真瞧。果然有收 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号，不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01
 ·日本留学生活 求个大阪合租
·日本留学生活 自家房招租求
·日本留学生活 东京地区出9成新lv钱包
·日本育儿教育 孩子从国内过来如何学习日语
·日本育儿教育 明年四月横滨招月嫂
·日本育儿教育 请问咋让娃突破识字关？感谢分享中文共读和学习经验的妈妈
 ·中文新闻 东区明星迈克尔·格列柯，53 岁，将在第一次出生两年后第二次
·中文新闻 《爱情岛》明星卡米拉·瑟洛和杰米·朱维特在透露即将迎来第三