Mikrotiken használok feketelistát. Minden olyan IP felkerül rá ami 22, 53, 8291és hasonló portokat próbál piszkálni az internet irányából.
A feketelistát blokkolom a raw fülön, azaz
/ip firewall raw
add action=drop chain=prerouting src-address-list=blacklist
itt jelen pillanatban a csomagszámláló 1.281.937-nél jár
Korábban csak a filter fülön blokkoltam, de ez a szabály itt is bent maradt:
/ip firewall filter
add action=drop chain=forward src-address-list=blacklist
add action=drop chain=input src-address-list=blacklist
Elméletileg ezeknek már nem kellene csinálnia semmit sem, mert a Raw-ban már eldobom ezeket a csomagokat, a gyakorlatban viszont ezek a számlálók is pörögnek, csak éppen lasabban.
forward: 15
input: 5.495

Azon gondolkoztam, hogy ez miért lehet, és van is egy ötletem, de felmerült egy újabb kérdés is ezzel kapcsolatban. A szabályok jelentős része most a Filter Rules-ben van, a Raw-ban csak a feketelista eldobás, és a fehérlista engedélyezés van.
Hogyan érdemes, ill. hogyan célszerű eldönteni, hogy melyik szabály legyen a Raw-ban és melyik legyen a Filter Rules fülön felvéve? Konkrétan pl. a fehér/feketelista kezelése melyik helyen a célszerűbb?