Здравствуйте, форумчане!
На форуме Пользователей МикроТик люди активизировались по поводу брутфорса NAS.
Решил проверить защищенность своего аппарата. Взял свой сотовый и попытался 7 раз войти в приложение DS File с заведомо неправильным паролем.
К моему удивлению, мой IP-шник в бан не попал, и попытка войти с правильным паролем на 8-й раз увенчалась успехом.
Часть фаервола для защиты портов NAS выглядит так:
/ip firewall filter
# Посылаю в цепь проверки только те запросы, которые идут из внешнего мира – WAN
add action=jump chain=forward comment="10.1 - NAS ports request check jump for TCP" connection-state=new dst-port=5000,5001,6690,80,443,5005,5006 jump-target=check-bruteforce in-interface-list=WAN protocol=tcp
add action=jump chain=forward comment="10.2 - NAS ports request check jump for UDP" connection-state=new dst-port=5000,5001 jump-target=check-bruteforce in-interface-list=WAN protocol=udp
# Дропаю, все, что попало в список "bruteforcer"
add action=drop chain=forward comment="10.3 – Drop the bruteforcer" connection-state=new log=yes log-prefix="--DROP NAS_PORTs brute forcer--" src-address-list= bruteforcer
# Тут идут ступени для аутентификации
add action=add-src-to-address-list comment="10.4 – Lock the bruteforcer" address-list=bruteforcer address-list-timeout=10m chain=check-bruteforce src-address-list=bruteforce-stage-5
add action=add-src-to-address-list comment="10.5 – bruteforcer check – Stage 4" address-list=bruteforce-stage-5 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-4
add action=add-src-to-address-list comment="10.6 – bruteforcer check – Stage 3" address-list=bruteforce-stage-4 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-3
add action=add-src-to-address-list comment="10.7 – bruteforcer check – Stage 2" address-list=bruteforce-stage-3 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-2
add action=add-src-to-address-list comment="10.8 – bruteforcer check – Stage 1" address-list=bruteforce-stage-2 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-1
# Принимаю все, что прошло проверку
add action=accept chain=forward comment="10.9 – NAS ports request accept for TCP " connection-state=new dst-port=5000,5001,6690,80,443,5005,5006 protocol=tcp
add action=accept chain=forward comment="10.10 – NAS ports request accept for UDP " connection-state=new dst-port=5000,5001 protocol=udp
in-interface-list=WAN - интерфейс Интернета.
Решил просмотреть, какие же порты надо пробрасывать. Зашел в "Панель управления" - "Внешний доступ" - "Конфигурация Маршрутизатора" и нашел там соответствие портов, которые проброшены в /IP - Firewall - NAT. Как вижу, стндартный порт 80 подменяется в интернете на 62430, а 5000 - на 62429. Все приложения на мобильниках работают.
Запустил мастер настройки EZ-Internet. Он предлагает проброс портов один-в один:

В общем, совсем я запутался. Помогите разобраться:
1. какие порты используют все мобильные приложения типа DS File, DS Photo, DS Video, DS Get снаружи роутера?
2. какие порты прокидываются?
Тогда будет понятно, по каким портам защиту ставить.