Routeros 使用 Firehol 作為惡意 IP 防火牆資料庫

久久上來PO一下文,順便筆記一下…

其實Firehol這個網站好久就有惹,只是沒時間去瞭解,
最近花了一些些時間,順把爬了一下文,寫了個PHP網頁,
將官網提供的資料轉成Routeros的script語法,
可以透過系統的排程(scheduler)來進行更新惡意 IP 資料庫,
只是不知道這樣真能防範到什麼樣的程級…@@

下圖為執行行的log記錄…

因為家裡的路由怕它太閒,所以定時一個小時進行更新一次…
如果覺得過快,也可以調整他更新的頻率,例:4小時

Firehol官網描述,平均約45分鐘更新一次全球惡意IP資料,
所以小弟抓個平均,每小時更新一次資料庫…
約6億個IP,算下來大概4、5千條 ipset ,所以路由如果有設太多的rules,
可能就…

感謝 Jake Bailey 這位大大資料(script)提供,我透過 php 生成 rsc 檔,
參考的連結為:https://github.com/jakebailey/tikfirehol

以方便 import update.rsc 將 ROS 裡的名單刪除後更新,
丟給Firewall filter rules 進行 drop 或 Raw 做 no track,阻擋名冊裡的 IP

下載檔案至ros裡的files目錄下

接著進行導入資料庫…

附上資訊…

/ip firewall raw
add action=notrack chain=prerouting comment=”Notrack Firehol IP input” \
src-address-list=firehol_level1

/ip firewall filter
add action=drop chain=input comment=”Firehol IP act” src-address-list=\
firehol_level1
add action=drop chain=forward comment=”Firehol IP act” src-address-list=\
firehol_level1

/system scheduler
add comment=”auto renew firehol date ==1==” interval=1h name=\
“Auto update firehol ==1==” on-event=\
“/tool fetch url=\”http://XXX/update.rsc\” mode=http\r\
\n” policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=aug/04/2019 start-time=00:05:00
add comment=”auto renew firehol date ==2==” interval=1h name=\
“Auto update firehol ==2==” on-event=”/import update.rsc\r\
\n” policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=aug/04/2019 start-time=00:00:10

update.rsc

當然,會自動更新的網址小弟就不便提供,以上請參考!

Necos
Necos

一開始只是好奇寫程式玩玩,現在喜歡敲敲打打3C產品,有空沒事就惡整一下,是人為或自損也好,反正能送修就送修,藉此週而復始的學習並升級,就這樣渡過了二十餘年…

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料