Mikrotik: создание blacklist(чёрный список) и настройка фильтрации запрещённого трафика

Сегодня мы с вами настроим Blacklist – служит для фильтрации любых обращений, к вашему устройству как входящих так и исходящих подключений.

Внимательно проверяйте ip-адрес при внесении в Blacklist, блокировка в обе стороны(допустим подключения с bridge или wlan уже не смогут обращаться к ip-адресам которые занесены будут в лист, фильтрация на input & output).

  1. Создадим лист с названием: blacklist

[[email protected]] > ip firewall address-list add address=87.236.23.70 list=blacklist 

2. Навесим правило блокировки в разделе IP>Firewall>RAW

2.1. Во вкладке General > Chain > выбираем prerouting
2.2. Идём далее во вкладку Advanced и Src. Address List указываем наш blacklist

2.3. Завершающим этапом будет вкладка Action, переходим в неё и Action > drop, по желанию включаем логирование индикации.

/ip firewall raw
add action=drop chain=prerouting comment=BlackList log-prefix=\
    "Blacklist>>>" src-address-list=blacklist

Проверка:

Пингуем наш заблокированный IP-адрес и отслеживаем по логу

Пинг до блокировки:
C:\Windows\System32>ping 87.236.23.70
Обмен пакетами с 87.236.23.70 по с 32 байтами данных:
Ответ от 87.236.23.70: число байт=32 время=42мс TTL=59
Ответ от 87.236.23.70: число байт=32 время=42мс TTL=59
Ответ от 87.236.23.70: число байт=32 время=41мс TTL=59
Ответ от 87.236.23.70: число байт=32 время=42мс TTL=59

Статистика Ping для 87.236.23.70:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 41мсек, Максимальное = 42 мсек, Среднее = 41 мсек

После добавления в blacklist:

C:\Windows\System32>ping 87.236.23.70

Обмен пакетами с 87.236.23.70 по с 32 байтами данных:
Превышен интервал ожидания для запроса.

Статистика Ping для 87.236.23.70:
    Пакетов: отправлено = 1, получено = 0, потеряно = 1
    (100% потерь)

Смотрим лог на mikrotik:

15:38:55 firewall,info Blacklist>>> prerouting: in:sfp1 out:(unknown 0), src-mac 00:0a:42:d6:6a:00, proto ICMP (type 0, code 0), 87.236.2
3.70->****IP-CLIENT******, len 60 
15:38:59 firewall,info Blacklist>>> prerouting: in:sfp1 out:(unknown 0), src-mac 00:0a:42:d6:6a:00, proto ICMP (type 0, code 0), 87.236.2
3.70->*****IP-CLIENT*****, len 60
Top.Mail.Ru