Щоб захистити маршрутизатор від сканерів портів, ми можемо записати IP-адреси хакерів, які намагаються просканувати ваш роутер. Використовуючи цей список адрес, ми можемо розірвати з’єднання з тих IP.
Конфігурація наступна:
/ip firewall filter
add action=add-src-to-address-list address-list="Hacker Scanners" \
address-list-timeout=30d0h0m chain=input comment="Port Scanners" \
in-interface=bridgeWAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Hacker Scanners" \
address-list-timeout=30d0h0m chain=input comment="NMAP FIN Stealth scan" \
in-interface=bridgeWAN protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Hacker Scanners" \
address-list-timeout=30d0h0m chain=input comment="SYN/FIN scan" \
in-interface=bridgeWAN protocol=tcp tcp-flags=\
fin,syn
add action=add-src-to-address-list address-list="Hacker Scanners" \
address-list-timeout=30d0h0m chain=input comment="SYN/RST scan" \
in-interface=bridgeWAN protocol=tcp tcp-flags=\
syn,rst
add action=add-src-to-address-list address-list="Hacker Scanners" \
address-list-timeout=30d0h0m chain=input comment="FIN/PSH/URG scan" \
in-interface=bridgeWAN protocol=tcp tcp-flags=\
fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Hacker Scanners" \
address-list-timeout=30d0h0m chain=input comment="ALL/ALL scan" \
in-interface=bridgeWAN protocol=tcp tcp-flags=\
fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Hacker Scanners" \
address-list-timeout=30d0h0m chain=input comment="NMAP NULL scan" \
in-interface=bridgeWAN protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
/ip firewall raw
add action=drop chain=prerouting in-interface=bridgeWAN src-address-list="Hacker Scanners"
bridgeWAN – ім’я інтерфейсу для провайдера WAN (можливо, ether1 у конфігураціях за замовчуванням)
Ці правила для honeypot для деяких сервісів. У моєму випадку захистіть маршрутизатор від сканування rdp, ftp, ssh і sip
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" \
connection-state=new dst-port=22,3389,8291,80,443 in-interface=\
bridgeWAN protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment=\
"block honeypot asterisk" connection-state=new dst-port=5060,53 \
in-interface=bridgeWAN protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=bridgeWAN src-address-list=\
"Honeypot Hacker"
Коментарі