Bloqueio de força bruta RDP do roteador Mikrotik com whitelist

Mestres,

Temos um roteador miktorik e gostaríamos de bloquear a força bruta do RDP, mas também precisamos da lista de permissões para permitir que nossos collegaues se conectem sem bloqueá-los. (Às vezes eles batem senha errada ..)

Assim, como uma postagem anterior e o @Regan sugeriram, temos bloqueios de ataques de RDP com essas regras:

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

Mas, desse modo, essas regras geralmente levam nosso collegaue para a lista negra do RDP (se você acertar a senha ou fizer login em um computador diferente com o mesmo IP ...).

Então eu preciso modificar este código, ou adicionar nova regra, se o RDP_White_List contiver um IP que sempre permita conexão, e não colocar em RDP_Black_list

Então eu preciso criar um rdp_whitelist ...

adicionar chain = encaminhar dst-port = 3389 src-address-list = ação rdp_whitelist = aceitar

Tudo bem. Mas qual é a ordem correta das regras? Porque esta regra de aceitação não está funcionando ...

Obrigado pela sugestão ...

Este é o meu conjunto de regras agora: