Mikrotik için DDoS Firewall Kuralı

/ip firewall raw


add chain=prerouting action=jump jump-target=block-ddos protocol=tcp tcp-flags=syn


add chain=prerouting src-address-list=ddoser dst-address-list=ddosed action=drop


add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return


add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m


add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

BGP Yapabileceğiniz Cloud Server Sağlayıcıların Listesi

3$ ödeyerek full route BGP beslemesi almak mı? Neden olmasın?

Zamanla listeyi güncellemeyi planlıyorum…

Türkiye’de Hizmet Veren İnternet Servis Sağlayıcıların BGP Communityleri

Son dönemlerde çok sık sorulan soruların başında community’ler geliyor. BGP yapmaya başlayıp lakin sadece hizmet aldığı servis sağlayıcısının communitylerini kullanabileceğini düşünen çok fazla kişi gördüm.

Özellikle ülkemizde faal hizmet veren ve yaygın olan operatörlerin bgp communitylerini açıklamalarıyla yazma ihtiyacı gördüm.

Not: Blackhole için /32 göndermeniz gerektiğini unutmamak gerekir. Diğer communityleri >= /24 şeklinde kullanabilirsiniz.

TürkTelekom (AS9121)

  • 9121:666 Blackhole
  • 9121:444 Sadece yurtiçi anons
  • 9121:555 Sadece yurtdışı blackhole

Superonline (AS34984)

  • 34984:666 Blackhole

TurkTelekom International (AS6663)

  • 6663:0 Blackhole
  • 6663:40001 Upstreamlere anons etme
  • 6663:40002 Peerlere anons etme
  • 6663:70 Local prefence 70
  • 6663:20 Local prefence 20
  • 6663:4P001 Upstreamlere prepend ekle. P=1,2,3
  • 6663:4P002 Peerlere prepend ekle. P=1,2,3

Seabone / Sparkle (AS6762)

  • 6762:666 Blackhole
  • 6762:1090 Local prefence 90
  • 6762:1070 Local prefence 70
  • 6762:1050 Local prefence 50
  • 6762:20099 Linx’e anons etme
  • 6762:20098 Amsix’e anons etme
  • 6762:20097 Decix’e anons etme
  • 6762:20096 Paix’e anons etme
  • 6762:20095 Sthix’e anons etme
  • 6762:20094 Equinix Singapore’a anons etme
  • 6762:20093 Equinix Ashburn’e anons etme

Cogent (AS174)

  • 174:3000 Peerlara anons etme
  • 174:10 Local prefence 10
  • 174:70 Local prefence 70
  • 174:120 Local prefence 120
  • 174:125 Local prefence 125
  • 174:135 Local prefence 135
  • 174:140 Local prefence 140
  • 174:970 Kuzey Amerika’ya anons etme
  • 174:980 Avrupa’ya anons etme
  • 174:990 Cogent müşterilerine anons etme
  • 174:991 Peerlara anons etme
  • 174:3001 Prepent 1
  • 174:3002 Prepent 2
  • 174:3003 Prepent 3
  • 174:3010 NTT’ye anons etme
  • 174:3020 NTL’ye anons etme
  • 174:3030 Level3’ye anons etme
  • 174:3040 Telefonica’ya anons etme
  • 174:3050 Fransa Telekom’a anons etme
  • 174:3060 Zayo’ya anons etme
  • 174:3070 Sprint’e anons etme
  • 174:3080 Telia’ya anons etme
  • 174:3090 Verizon’a anons etme
  • 174:3100 KPN’e anons etme
  • 174:3110 UUnet EU’ye anons etme
  • 174:3120 Tiscali’ye anons etme
  • 174:3130 DTAG’e anons etme
  • 174:3140 Global Crossing’ye anons etme
  • 174:3150 Teleglobe’ye anons etme
  • 174:3160 ATT’ye anons etme
  • 174:3170 UPC’ye anons etme
  • 174:3180 Google’a anons etme
  • 174:3190 CW’ye anons etme
  • 174:3200 Cablevision’e anons etme
  • 174:3210 Centurylink’e anons etme
  • 174:3220 TelecomItalia’ya anons etme
  • 174:3230 Savvis’e anons etme
  • 174:3240 Bellnexxia’ya anons etme
  • 174:3250 TDC’ye anons etme
  • 174:3260 Tele2’ye anons etme
  • 174:3270 XO’ya anons etme
  • 174:3280 Telus’a anons etme
  • 174:3290 China Telekom’a anons etme
  • 174:3300 Comcast’e anons etme

Liste henüz tam ve eksiksiz değildir. Zamanla güncellenecektir…

Vultr ve Mikrotik

Öncelikle Vultr kimdir derseniz, bilindik uptime değerleri yüksek bir cloud server sağlayıcısı.

Peki MikroTik RouterOS nedir dersek; bir bilgisayarı bir ağ yönlendiricisine dönüştüren Linux çekirdek tabanlı bir işletim sistemidir.

 

Bir proje için Vultr üzerinde bir çalışma gerçekleştirmem gerekiyordu.

Proje Mikrotik üzerinde çalışacak bir l2tp vpn server ve adım adım ekleyeceğim bir kaç servis üzerine bir şeyler…

Öncelikli olarak Vultr üzerinde hesabınızı oluşturduktan sonra yeni sunucunuzu oluşturmanız gerekiyor ve tabi küçük kral Mikrotik’i kurmamız gerekiyor. Maalesef Mikrotik ISO’sunu direkt gösterip kurmamız sıkıntılı oluyor. Bunun yerine farklı çalışmalar var. Ben bu yöntemlerden birini kullanarak hızlı bir kurulum gerçekleştireceğim.

Öncelikli olarak Vultr üzerinde Servers sayfasına giriyoruz ve ISO sekmesinden Add ISO seçeneğini tıklayarak ön yüklemeli linuxlardan biri olan SystemRescueCD’yi ekleyeceğiz.

 

https://downloads.sourceforge.net/project/systemrescuecd/sysresccd-x86/5.0.3/systemrescuecd-x86-5.0.3.iso?r=https%3A%2F%2Fsourceforge.net%2Fprojects%2Fsystemrescuecd%2Ffiles%2Fsysresccd-x86%2F5.0.3%2Fsystemrescuecd-x86-5.0.3.iso%2Fdownload%3Fuse_mirror%3Ddatapacket&ts=1533048592

 

Upload işlemine başlayıp işlem bittikten sonra sunucumuzu deploy aşamasına getirebiliriz. Aman dikkat Server Type başlığı altındaki Upload ISO’dan yüklediğimiz SystemRescueCD’yi seçmeyi unutmayınız.

Sunucu ortalama 1 dakika içinde kurulmuş olacak ve şimdi başlıyoruz 🙂

 

View console butonu ile SystemRescueCD’ye erişimi kara ekranımız sayesinde erişiyoruz.

Hemen kendi bilgisayarınız üzerinden https://mikrotik.com/download adresine girerek Cloud Hosted Router sürümlerinden size uygun olan Raw disk image dosyasının linkini kopyalıyoruz.

https://download.mikrotik.com/routeros/6.42.6/chr-6.42.6.img.zip

Şimdi kara konsolumuza geri dönüp wget ile Mikrotik CHR linkimizi indiriyoruz.

wget https://download.mikrotik.com/routeros/6.42.6/chr-6.42.6.img.zip

Şunu belirtmekte fayda var HTTPS üzerinden işlem gören bir linke sahip olduğumuz için SystemRescueCD sıkıntı çıkartabilir. Böyle bir durumla karşılaşırsanız Mikrotik img dosyasını indirip kendi hostunuza yükleyip linki oradan çekin. Örneğin: http://alptekin.info/mikrotik-chr.zip gibi…

Bu adımı da başarıyla yaptıktan sonra unzip işlemi gerçekleştireceğiz malum indirdiğimiz img aslında bir zip dosyası içerisinde.

unzip chr-x.xx.x.img.zip

Şeklinde indirdiğimiz dosya adını yazarak zip’i bulunduğumuz dizine açıyoruz. Ve ardından şu işlemi yapıp sona doğru geliyoruz 🙂

dd if=chr-x.xx.x.img.img of=/dev/vda

Şuan img dosyasımızı Vultr’nin diski üzerine yazmış olduk.

Şimdi tekrar Vultr sayfasına dönüp Servers başlığından sunucumuzu seçip Settings tab’ına geçiyoruz. Custom ISO kısmından SystemRescueCD’yu kaldırıp sunucuyu yeniden başlatıyoruz.

İşte muhteşem! Artık Mikrotik hazır!

 

Evet artık bundan sonra yapacaklarımızı biliyoruz. Kullanıcı adını “admin” yazıp şifreyi boş geçip bağlanıyoruz.

Yapacağımız ilk işlem admin kullanıcısını silip yerine kendi kullanıcımızı oluşturmak olacak.

user add name=alptekin password=yenisifre group=full
user remove admin

Vultr’nin vermiş olduğu IP ve gateway bilgilerine baktıktan sonra aşağıdaki komutu girelim:

ip address add interface=ether1 address=95.179.154.xxx/23

Ardından default gateway’imizide ekleyip her şeyi hazır hale getirelim:

ip route add dst-address=0.0.0.0/0 gateway=95.179.154.1

Evet artık her şey bitti, Winbox‘ımızı açıp mikrotik’e erişim sağlayabiliriz.

Ooops! Unutmadan; Mikrotiklinki üzerinden kendinize yeni bir hesap oluşturun.

Ardından System > licanse başlığı altından Renew licanse diyerek mikrotik.com’da oluşturduğumuz kullanıcı adı şifremizi girerek 2 aylık ücretsiz ve sınırsız lisansımızı mikrotik’e eklemiş oluyoruz.

Tavisyem P1 lisansını 49$’a satın almanız. 1Gbit/sec limitli ve sınırsız özellikli versiyona ömür boyu erişim sağlamış olacaksınız.

Bir sonraki yazımda l2tp ile vpn kurulumu yapacağız. Ve tabi ki en çok merak edilen ve hakkında az kaynak olan BGP yapıp nasıl çalıştığını anlatacağız.

Görüşmek üzere!