Блокування сканерів портів для роутерів Mikrotik

Posted by webmaster, 12 / 11/ 2021 - 09:48

Щоб захистити маршрутизатор від сканерів портів, ми можемо записати IP-адреси хакерів, які намагаються просканувати ваш роутер. Використовуючи цей список адрес, ми можемо розірвати з’єднання з тих IP. 

Конфігурація наступна:

/ip firewall filter
add action=add-src-to-address-list address-list="Hacker Scanners" \
    address-list-timeout=30d0h0m chain=input comment="Port Scanners" \
    in-interface=bridgeWAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Hacker Scanners" \
    address-list-timeout=30d0h0m chain=input comment="NMAP FIN Stealth scan" \
    in-interface=bridgeWAN protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Hacker Scanners" \
    address-list-timeout=30d0h0m chain=input comment="SYN/FIN scan" \
    in-interface=bridgeWAN protocol=tcp tcp-flags=\
    fin,syn
add action=add-src-to-address-list address-list="Hacker Scanners" \
    address-list-timeout=30d0h0m chain=input comment="SYN/RST scan" \
    in-interface=bridgeWAN protocol=tcp tcp-flags=\
    syn,rst
add action=add-src-to-address-list address-list="Hacker Scanners" \
    address-list-timeout=30d0h0m chain=input comment="FIN/PSH/URG scan" \
    in-interface=bridgeWAN protocol=tcp tcp-flags=\
    fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Hacker Scanners" \
    address-list-timeout=30d0h0m chain=input comment="ALL/ALL scan" \
    in-interface=bridgeWAN protocol=tcp tcp-flags=\
    fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Hacker Scanners" \
    address-list-timeout=30d0h0m chain=input comment="NMAP NULL scan" \
    in-interface=bridgeWAN protocol=tcp tcp-flags=\
    !fin,!syn,!rst,!psh,!ack,!urg
/ip firewall raw
add action=drop chain=prerouting in-interface=bridgeWAN src-address-list="Hacker Scanners"

bridgeWAN – ім’я інтерфейсу для провайдера WAN (можливо, ether1 у конфігураціях за замовчуванням)

Ці правила для honeypot для деяких  сервісів. У моєму випадку захистіть маршрутизатор від сканування rdp, ftp, ssh і sip

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" \
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" \
    connection-state=new dst-port=22,3389,8291,80,443 in-interface=\
    bridgeWAN protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" \
    address-list-timeout=30d0h0m chain=input comment=\
    "block honeypot asterisk" connection-state=new dst-port=5060,53 \
    in-interface=bridgeWAN protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=bridgeWAN src-address-list=\
    "Honeypot Hacker"

 

Теґи

Категорія
Мережеве обладнання

Коментарі