เอา Script ป้องกัน DNS Amplifier Attack ของ Mikrotik มาฝากกันครับ ซึ่งสิ่งที่น่าสนใจคือวิธีทำงานของสคริปต์นี้ เพราะสคริปต์นี้สามารถนำไปใช้งานได้หมด ไม่ว่ากับการเชื่อมต่อ WAN ในลักษณะไหน (DHCP, PPPOE และอื่นๆ) รวมถึงสามารถทำงานได้กับทั้ง Wan เดียว หรือหลาย WAN ไม่ว่าจะมีการทำ Load Balance หรือไม่ก็ทำได้หมด – ผมเลยทำวิธีใช้งาน และบรรยายวิธีการ config Mikrotik ในลักษณะเป็น module ที่มีความยืดหยุ่นในการทำงานมาฝากกันไปด้วยเลย 🙂
/ip firewall address-list
#แก้ไขบรรทัดนี้ให้เป็น Network ID ของ LAN
add address=192.168.1.0/24 list=LAN
/ip firewall filter
add action=drop chain=input src-address-list=block_hack_from_internet comment= "Prevent DNS amplification attack"
add action=add-src-to-address-list address-list=block_hack_from_internet address-list-timeout=2m chain=input dst-port=53 src-address-list=!LAN protocol=udp
add action=add-src-to-address-list address-list=block_hack_from_internet address-list-timeout=2m chain=input dst-port=53 src-address-list=!LAN protocol=tcp
add action=drop chain=input src-address-list=block_hack_from_internet
