Global ASN Filtering with MikroTik RouterOS 7

Are you a MikroTik RouterOS 7 user? Do you want to have better control over your network traffic worldwide? Check out this project I’ve been working on!

🛡️ What is it? 🛡️
This project provides a rule set for MikroTik RouterOS 7 users to filter network traffic by Autonomous System Numbers (ASNs) on a global scale. Whether you want to restrict or route your network traffic to specific providers worldwide, this rule set can help you achieve it.

🔧 How to Use 🔧
Log in to your MikroTik management interface.
Navigate to “/routing/filter/num-list”.
Use the provided examples to add the ASNs you need or define new ones.
Save your changes and apply them to your routing policies.
That’s it! You now have a powerful rule set to control network traffic based on specific ASNs globally.

🚀 Why Use It? 🚀
This resource empowers MikroTik RouterOS 7 users to filter by ASNs worldwide, offering flexibility and control over their network infrastructure. Take a closer look at the rule set, customize it to your specific needs, and contribute to enriching this open-source project.

🌍 Get Started 🌍

https://github.com/alptekinsunnetci/MikroTik-RouterOS/tree/main/BGP-Country-Filter

Share your feedback, suggestions, or contributions to make this tool even more powerful for the community. Let’s build a better-connected world together!

Mikrotik için RDP Koruması

/ip firewall filter

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

Mikrotik için DDoS Firewall Kuralı

/ip firewall raw


add chain=prerouting action=jump jump-target=block-ddos protocol=tcp tcp-flags=syn


add chain=prerouting src-address-list=ddoser dst-address-list=ddosed action=drop


add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return


add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m


add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

Vultr ve Mikrotik

Öncelikle Vultr kimdir derseniz, bilindik uptime değerleri yüksek bir cloud server sağlayıcısı.

Peki MikroTik RouterOS nedir dersek; bir bilgisayarı bir ağ yönlendiricisine dönüştüren Linux çekirdek tabanlı bir işletim sistemidir.

 

Bir proje için Vultr üzerinde bir çalışma gerçekleştirmem gerekiyordu.

Proje Mikrotik üzerinde çalışacak bir l2tp vpn server ve adım adım ekleyeceğim bir kaç servis üzerine bir şeyler…

Öncelikli olarak Vultr üzerinde hesabınızı oluşturduktan sonra yeni sunucunuzu oluşturmanız gerekiyor ve tabi küçük kral Mikrotik’i kurmamız gerekiyor. Maalesef Mikrotik ISO’sunu direkt gösterip kurmamız sıkıntılı oluyor. Bunun yerine farklı çalışmalar var. Ben bu yöntemlerden birini kullanarak hızlı bir kurulum gerçekleştireceğim.

Öncelikli olarak Vultr üzerinde Servers sayfasına giriyoruz ve ISO sekmesinden Add ISO seçeneğini tıklayarak ön yüklemeli linuxlardan biri olan SystemRescueCD’yi ekleyeceğiz.

 

https://downloads.sourceforge.net/project/systemrescuecd/sysresccd-x86/5.0.3/systemrescuecd-x86-5.0.3.iso?r=https%3A%2F%2Fsourceforge.net%2Fprojects%2Fsystemrescuecd%2Ffiles%2Fsysresccd-x86%2F5.0.3%2Fsystemrescuecd-x86-5.0.3.iso%2Fdownload%3Fuse_mirror%3Ddatapacket&ts=1533048592

 

Upload işlemine başlayıp işlem bittikten sonra sunucumuzu deploy aşamasına getirebiliriz. Aman dikkat Server Type başlığı altındaki Upload ISO’dan yüklediğimiz SystemRescueCD’yi seçmeyi unutmayınız.

Sunucu ortalama 1 dakika içinde kurulmuş olacak ve şimdi başlıyoruz 🙂

 

View console butonu ile SystemRescueCD’ye erişimi kara ekranımız sayesinde erişiyoruz.

Hemen kendi bilgisayarınız üzerinden https://mikrotik.com/download adresine girerek Cloud Hosted Router sürümlerinden size uygun olan Raw disk image dosyasının linkini kopyalıyoruz.

https://download.mikrotik.com/routeros/6.42.6/chr-6.42.6.img.zip

Şimdi kara konsolumuza geri dönüp wget ile Mikrotik CHR linkimizi indiriyoruz.

wget https://download.mikrotik.com/routeros/6.42.6/chr-6.42.6.img.zip

Şunu belirtmekte fayda var HTTPS üzerinden işlem gören bir linke sahip olduğumuz için SystemRescueCD sıkıntı çıkartabilir. Böyle bir durumla karşılaşırsanız Mikrotik img dosyasını indirip kendi hostunuza yükleyip linki oradan çekin. Örneğin: http://alptekin.info/mikrotik-chr.zip gibi…

Bu adımı da başarıyla yaptıktan sonra unzip işlemi gerçekleştireceğiz malum indirdiğimiz img aslında bir zip dosyası içerisinde.

unzip chr-x.xx.x.img.zip

Şeklinde indirdiğimiz dosya adını yazarak zip’i bulunduğumuz dizine açıyoruz. Ve ardından şu işlemi yapıp sona doğru geliyoruz 🙂

dd if=chr-x.xx.x.img.img of=/dev/vda

Şuan img dosyasımızı Vultr’nin diski üzerine yazmış olduk.

Şimdi tekrar Vultr sayfasına dönüp Servers başlığından sunucumuzu seçip Settings tab’ına geçiyoruz. Custom ISO kısmından SystemRescueCD’yu kaldırıp sunucuyu yeniden başlatıyoruz.

İşte muhteşem! Artık Mikrotik hazır!

 

Evet artık bundan sonra yapacaklarımızı biliyoruz. Kullanıcı adını “admin” yazıp şifreyi boş geçip bağlanıyoruz.

Yapacağımız ilk işlem admin kullanıcısını silip yerine kendi kullanıcımızı oluşturmak olacak.

user add name=alptekin password=yenisifre group=full
user remove admin

Vultr’nin vermiş olduğu IP ve gateway bilgilerine baktıktan sonra aşağıdaki komutu girelim:

ip address add interface=ether1 address=95.179.154.xxx/23

Ardından default gateway’imizide ekleyip her şeyi hazır hale getirelim:

ip route add dst-address=0.0.0.0/0 gateway=95.179.154.1

Evet artık her şey bitti, Winbox‘ımızı açıp mikrotik’e erişim sağlayabiliriz.

Ooops! Unutmadan; Mikrotiklinki üzerinden kendinize yeni bir hesap oluşturun.

Ardından System > licanse başlığı altından Renew licanse diyerek mikrotik.com’da oluşturduğumuz kullanıcı adı şifremizi girerek 2 aylık ücretsiz ve sınırsız lisansımızı mikrotik’e eklemiş oluyoruz.

Tavisyem P1 lisansını 49$’a satın almanız. 1Gbit/sec limitli ve sınırsız özellikli versiyona ömür boyu erişim sağlamış olacaksınız.

Bir sonraki yazımda l2tp ile vpn kurulumu yapacağız. Ve tabi ki en çok merak edilen ve hakkında az kaynak olan BGP yapıp nasıl çalıştığını anlatacağız.

Görüşmek üzere!