Olá gente,
Não sei se acontece com todos, mas tenho percebido que em certas ocasiões nossos servidores são constantemente atacados via brute force, sendo que os ips são dos mais variados locais, internacionais, inclusive, dessa forma procurei e implantei uma solução que evita que nossa máquina fique respondendo a esses ips.
A idéia é a seguinte, um brute force tenta desesperadamente encontrar um user e senha válidos para acessar, para isso ele faz inúmeras conexões simultâneas então olha o que eu fiz:
/ ip firewall filter
add chain=input protocol=tcp dst-port=8291 connection-limit=2,32 \
connection-state=established action=add-src-to-address-list \
address-list="drop winbox" address-list-timeout=12h comment="" \ disabled=no
add chain=input protocol=tcp dst-port=80 connection-limit=2,32 \
connection-state=established action=add-src-to-address-list \
address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
add chain=input src-address-list="drop winbox" action=drop comment="" \
disabled=no
Olha só, do geito que fiz ao se fazer duas tentativas simultâneas, ou via winbox 8291, ou webbox 80 (poderia ser para outros serviços tipo, dtp, telnet, ou qualquer outra porta que você usa com algum sistema que utilize login e senha).
O ip de origem é jogado para uma lista (drop winbox, assim ficamos sabendo quem foi o bendito que tava querendo nos invadir).
E pro fim todos os ips que constarem dessa lista terão seu acesso negado por 12h desde a primeira tentativa.