Das Internet ist voll von Spam, Brutenforces und sonstigen Müll, daher sollten Listen wie Spamhaus und DShield auf jeder Firewall standardgemäß aktiviert sein. In dieser kurzen Anleitung zeige ich euch wie Ihr einfach diese Listen auf euren Mikrotik Routern importiert bekommt.

Diese Listen werden alle 4 Stunden automatisch aktualisiert und im RouterOS hinterlegt. Der Firewall-Eintrag bleibt der selbe, es werden nur die Listen aktualisiert.

Mikrotik Router Empfehlung

Vorschau Produkt Bewertung Preis
MikroTik C52iG-5HaxD2HaxD-TC - hAP ax² MikroTik hAP ax² C52iG-5HaxD2HaxD-TC 802.11ax. 1200 Mbit/s (5 GHz)/ 574 Mbit/s (2.4 GHz) Mbit/s. Ethernet LAN (RJ-45) ports 5 MikroTik C52iG-5HaxD2HaxD-TC – hAP ax² MikroTik hAP ax² C52iG-5HaxD2HaxD-TC 802.11ax. 1200 Mbit/s… Aktuell keine Bewertungen 86,68 EUR Bei Amazon ansehen
Mikrotik L009UiGS-2HaxD-IN routeur sans fil Gigabit Ethernet Monobande (2,4 GHz) Rouge Mikrotik L009UiGS-2HaxD-IN routeur sans fil Gigabit Ethernet Monobande (2,4 GHz) Rouge Aktuell keine Bewertungen 123,10 EUR Bei Amazon ansehen

1. RouterOS/Mikrotik Scripts einrichten für Spamhaus

Folgendes Script läd die vorbereitete Liste von Spamhaus von meinem Webspace herunter und aktualisiert die “Address List” im Eintrag bei IP => Firewall im RouterOS. Du brauchst diese beiden Befehle nur im RouterOS Terminal kopieren und ausführen, dann werden dir diese beiden Scripte angelegt. 

/system script add name="DownloadIPv64Spamhaus" source={
/tool fetch url="https://schroederdennis.de/blocklist/spamhaus.rsc" mode=https;
:log info "Downloaded spamhaus.rsc from IPv64.net";
}

/system script add name="ReplaceIPv64Spamhaus" source={
/ip firewall address-list remove [find where comment="SpamHaus"]
/import file-name=spamhaus.rsc;
:log info "Removed old Spamhaus records and imported new list";
}

Jetzt müssen nur noch diese Scripte automatisiert werden. Wir legen also 2 Scheduler an, welche regelmäßig diese beiden Scripte aktualisiert. Ich denke 1x am Tag sollte dafür locker ausreichen.

/system scheduler add comment="Download IPv64Spamhaus" interval=1d \
  name="DownloadSpamhausList" on-event=DownloadIPv64Spamhaus \
  start-date=jan/01/1970 start-time=13:27:42
/system scheduler add comment="Apply IPv64Spamhaus List" interval=1d \
  name="InstallSpamhausList" on-event=ReplaceIPv64Spamhaus \
  start-date=jan/01/1970 start-time=13:32:42

2. RouterOS/Mikrotik Scripts einrichten für DShield

Folgendes Script läd die vorbereitete Liste von DShield von meinem Webspace herunter und aktualisiert die “Address List” im Eintrag bei IP => Firewall im RouterOS. Du brauchst diese beiden Befehle nur im RouterOS Terminal einfügen und ausführen, dann werden dir diese beiden Scripte automatisch angelegt. 

/system script add name="DownloadIPv64DShield" source={
/tool fetch url="https://schroederdennis.de/blocklist/dshield.rsc" mode=https;
:log info "Downloaded dshield.rsc from IPv64.net";
}

/system script add name="ReplaceIPv64DShield" source={
/ip firewall address-list remove [find where comment="DShield"]
/import file-name=dshield.rsc;
:log info "Removed old DShield records and imported new list";
}

Jetzt müssen nur noch diese Scripte automatisiert werden. Wir legen also 2 Scheduler an, welche regelmäßig diese beiden Scripte aktualisiert. 1x am Tag sollte dafür ausreichen.

/system scheduler add comment="Download IPv64DShield" interval=1d \
  name="DownloadIPv64DShield" on-event=DownloadIPv64DShield \
  start-date=jan/01/1970 start-time=13:27:42
/system scheduler add comment="Apply IPv64DShield List" interval=1d \
  name="ReplaceIPv64DShield" on-event=ReplaceIPv64DShield \
  start-date=jan/01/1970 start-time=13:32:42

3. Firewall Regel erstellen zum Blockieren

Nachdem wir nun die Address Listen automatisch aktualisieren können, müssen wir diese nur noch in unserem Firewall Rule Set hinzufügen und blocken lassen. Da Zugriffe von diesen IPs grundsätzlich als unerwünscht zu markieren sind, blockieren wir diese direkt in der “Prerouting” Chain. So werden die Anfragen an aller erster Stelle abgewiesen und zwar kommentarlos. 

ip firewall/raw/add chain=prerouting action=drop comment="Drop IPv64 Blocklist" src-address-list=IPv64-Blocklist

Ab diesem Moment werden jegliche Anfragen von IP-Adressen von dieser Liste/n vollständig blockiert und kommen nicht weiter bis hin zu einer Applikation.

Ansichten: 8.216