Вопрос:
Если вы забираете микротиком у провайдера интернет через PPTP/PPPOE и у вас/ваших клиентов не открываются сайты mail.ru, odnoklassniki.ru и т.д. (HTML загружается, но не отображается)


Ответ:
попробуйте в профиле вашего подключения (PPP-Profiles) отключить Change TCP MSS и создать следующее правило:

/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no

МАС адрес сетевого интерфейса на микротике можно сменить через консоль, набрав в ней - /interface ethernet set ether1 mac-address 11:22:33:44:55:66
ether1 - имя сетевого интерфейса мас адресс которого нам нужно сменить.
Видеоурок по смене МАС адреса на микротик - Видеоурок по смене МАС адреса на микротик

В iptables есть правило
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
(eth1 - интерфейс с ip в интернет)
Я пробовал вкл и вкл его. И с внешнего ip сканером портов проверял на открыте порты комп с IPtables.
При вкл правиле ни одного открытого порта на компе не обрануживалось.

Как подобное правило реализовать в микротик?

видимо, что-то вроде



но если включен Connection Tracking, то проще - так:

/ip firewall filter add chain=input in-interface=eth1 connection-state=new action=reject reject-with=icmp-network-unreachable

взято с www.mikrotik.by

Как защитить микротик от брутфорса?

Если вы хотите заблокировать доступ после десяти неправильных попыток в минуту
код для /ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

---

Это предотвратит SSH брутфорс на 10 дней после повторяющихся попыток. Измените блокировку по времени в случае необходимости.
код для /ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

---

Если вы хотите блокировать доступ из вне
код
add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute downstream" disabled=no

---

Статистику можно учитывать биллинг системой. Биллинг позволяет не только учитывать статистику, но и динамически управлять доступом пользователей к сети интернет. Пример - биллинг система Abills.
На нашем сайте есть статья по настройке связки Abills и микротик и называется она Установка Abills на ubuntu server 8.04 + Микротик