Защита от brute-force атак для FTP Приведенная ниже конфигурация позволяет только 10 неверных попыток авторизации в минуту /ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h...

Если вы не знаете как работает фаервол — никогда не удаляйте дефолтные правила. Они самые оптимизированные. Закрывают из вне все, кроме ICMP (ping), запрашиваемый трафик и проброс портов. Полный доступ только из локальной сети. В качестве порта смотрящего в Интернет указан ether1 Конфигурация ниже содержится в дефолтных настройках микротика. Многие статьи предлагают написать свои правила, но мое мнение, что нужно дополнять дефолтные. /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add...