Winbox経由のmikrotikルーターでのRDPログオン総当たり攻撃を防止

FTP構成は、実際にFTPデータを調べて530コードを確認しています。 FTP構成ではなくSSH構成を採用することをお勧めします。これを試して：

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

この構成が実際に行うことは、着信試行ごとにIPアドレスをリストに追加することです。初めてstage1に追加されたとき、IPがまだstage1にあり（1分後）、もう一度試行されると、stage2に追加され、さらに2回追加された後、rdp_blacklistリストに追加されます。実際には10日間ブロックされます。

多かれ少なかれ積極的にしたい場合は、リストのタイムアウトを変更したり、必要に応じてリストを追加したりすることもできます。

これらのリストを追加して、特定のIP範囲のみを許可できます。

add chain=forward dst-port=3389 src-address=192.168.0.0/24 action=accept
add chain=forward dst-port=3389 src-address=10.10.0.1/32 action=accept
add chain=forward dst-port=3389 action=drop

最後のドロップ行の前に、必要な数のsrc-address行を追加するだけです。範囲がたくさんある場合は、アドレスリストを作成し、これを使用してそれを参照できます。

add chain=forward dst-port=3389 src-address-list=rdp_acceptlist action=accept
add chain=forward dst-port=3389 action=drop

次に、アドレスをrdp_acceptlistに追加します

Rdp_acceptlistに追加するには、次のコマンドを使用します。

/ip firewall address-list add list=rdp_acceptlist address=192.168.0.0/24