Доброе время суток.
Все мы знаем, как настроить на Микротике Web Proxy для контроля доступа пользователей в Internet. А для тех кто не знает вам сюда.
Если WAN интерфейс у вас без белого IP адреса, то на этом настройка вашего Микротика закончена. Но если есть белый IP адрес, то при включении Web Proxy с стандартными настройками, ваш прокси становиться доступен для всех в интернете :) Если не верите, то попробуйте вбить в настройках вашего браузера в качестве proxy сервера белый IP адрес своего роутера, на котором включен Web Proxy и указать порт 8080 (если не меняли на иной, а если меняли, то укажите тот на который поменяли) и поставьте галочку использовать Proxy. После обновления страницы или перехода на Google вы убедитесь, что страница несомненно подгрузится.
Как же закрыть доступ к вашему Proxy из внешки? Легко и просто...
Конечно же можно просто дропнуть весь трафик по порту 8080 который приходит на WAN интерфейс вашего роутера вот таким правилом:
/ip firewall filter add action=drop chain=input dst-port=8080 in-interface=ether1 protocol=tcp
где, ether1-wan интерфейс.
Но мы пойдём другим путём, более сложным, но более информативным. Мы добавим все IP адреса с которых приходили пакеты на порт 8080 нашего с вами WAN интерфейса в Address Lists с названием "input traffic or 8080 port Proxy" (указать можно любое желаемое имя Address Lists) на 4 часа(или любое другое время):
/ip firewall filteradd action=add-src-to-address-list address-list="input traffic or 8080 port Proxy" address-list-timeout=4h chain=\ input comment="ban input to port 8080" dst-port=\ 8080 in-interface=ether1 protocol=tcp
Далее всё что записалось в наш Address Lists дропаем по порту 8080:
/ip firewall filter add action=drop chain=input dst-port=8080 in-interface=ether1 protocol=tcp src-address-list=\ "input traffic or 8080 port Proxy"
В итоге у нас получиться вот так:
Таким образом мы закрыли доступ к нашему Proxy серверу для всяких там мамкиных хакеров.
Далее мы можем оптимизировать работу роутера и не грузить его процессор путём создания аналогичного правила дропа приходящего трафика на ваш Proxy во вкладке Raw.
/ip firewall raw add action=drop chain=prerouting comment=" input traffic or 8080 port Proxy " dst-port=8080 protocol=tcp
После создания правила в Raw предыдущее правила дропа удаляем.
Выше перечисленный манипуляции также касаются Socks если он у вас включен. Стандартный порт Socks 1080.
Если у вас был долгое время включен Proxy или Socks без защиты, то ваш IP попал в базу данных злоумышленников и даже если вы его выключите, то на ваш роутер все равно будет приходить трафик по данным портам.
Проверить свой IP на всевозможные дыры можно на сайте https://www.shodan.io/