Mam na MT (brzegowym) kilka publicznych adresów IP
jeden z adresów łączy się do drugiego oddziału VPN i ten adres jest atakowany przez różne adresy
chciałbym to wyciąć i zezwolić temu adresowi na komunikacje z tylko jedną podklasą która jest w tym drugim oddziale
powiedzmy jest tak
Router brzegowy - 192.168.1.1 , na nim public 90.90.90.5 (atakowany), adresacja z którą się łączy router brzegowy 100.100.100.0/24 chce aby przepuszczał tylko wszystko z podsieci 100.100.100.0/24 a całą resztę która na niego wpada z innych IP wycinał.
Myślałem na brzegówce zrobić dwie regułki :
Drop (forward) src. address 90.90.90.5 (czyli drop na wszystko co wpada na atakowany adres)
Accept (forward) src address 90.90.90.5 dst address 100.100.100.0/24

Ale nie wiem czy dobrze to rozkminiłem, biegli mikrotikowcy coś doradza ?

W sieci pełno jest botów, robiacych brute force na port 22/tcp i często 500/udp. Ja zbieram te adresy na adres listę i drop na tę adres listę. Lista ma ważność 2 dni. Zrobiłbym to tak.

1. Regułka budującą adres listę (na podstawie prób logowania na port 22, na MT zmieniasz port na inny, aby samemu nie wpaść w regułę) .
2. Regułka drop adres listy
3. Akceptacja tylko nowych połączeń z adresu IP, ktory ma być dozwolony.
4. Ruch z połączeń nawiazanych i powiązanych.
5. Drop wszystkiego.

Jak chcesz chronić router to reguły na INPUT a nie na FORWARD. Najpierw dopuszczasz ruch pochodzący z adresu źródłowego routera (do którego masz połączenie VPN) i docelowego Twojego 90.90.90.5 a następnie blokujesz wszystko z adresem docelowym 90.90.90.5. 2 reguły załatwiają to co chcesz osiągnąć.

Z pierwszym się zgodzę, input nie forward. Z drugim nie, 2 reguły nie wystarczą.