久久上來PO一下文,順便筆記一下…
其實Firehol這個網站好久就有惹,只是沒時間去瞭解,
最近花了一些些時間,順把爬了一下文,寫了個PHP網頁,
將官網提供的資料轉成Routeros的script語法,
可以透過系統的排程(scheduler)來進行更新惡意 IP 資料庫,
只是不知道這樣真能防範到什麼樣的程級…@@
下圖為執行行的log記錄…
因為家裡的路由怕它太閒,所以定時一個小時進行更新一次…
如果覺得過快,也可以調整他更新的頻率,例:4小時
Firehol官網描述,平均約45分鐘更新一次全球惡意IP資料,
所以小弟抓個平均,每小時更新一次資料庫…
約6億個IP,算下來大概4、5千條 ipset ,所以路由如果有設太多的rules,
可能就…
感謝 Jake Bailey 這位大大資料(script)提供,我透過 php 生成 rsc 檔,
參考的連結為:https://github.com/jakebailey/tikfirehol
以方便 import update.rsc 將 ROS 裡的名單刪除後更新,
丟給Firewall filter rules 進行 drop 或 Raw 做 no track,阻擋名冊裡的 IP
下載檔案至ros裡的files目錄下
接著進行導入資料庫…
附上資訊…
/ip firewall raw
add action=notrack chain=prerouting comment=”Notrack Firehol IP input” \
src-address-list=firehol_level1
/ip firewall filter
add action=drop chain=input comment=”Firehol IP act” src-address-list=\
firehol_level1
add action=drop chain=forward comment=”Firehol IP act” src-address-list=\
firehol_level1
/system scheduler
add comment=”auto renew firehol date ==1==” interval=1h name=\
“Auto update firehol ==1==” on-event=\
“/tool fetch url=\”http://XXX/update.rsc\” mode=http\r\
\n” policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=aug/04/2019 start-time=00:05:00
add comment=”auto renew firehol date ==2==” interval=1h name=\
“Auto update firehol ==2==” on-event=”/import update.rsc\r\
\n” policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=aug/04/2019 start-time=00:00:10
當然,會自動更新的網址小弟就不便提供,以上請參考!
