/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
Várias combinações de flags TCP também pode indicar atividade scanner de porta.
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
OBS: Oberserve que a expressão "address-list-timeout=2w" vai deixar o ip do agressor preso por duas semanas, você pode alterar este valor para mais ou para menos........ no meu caso eu coloquei para nunca sair da lista, eu tenho que retirar manualmente, mas vai de cada um escolher a melhor estratégia para sua segurança.
Grande Abraço a todos.
Olá amigão, muito bom post.
ResponderExcluirTenho uma duvida, essas regras vão bloquear scanners de portas no mikrotik e vai GRAVAR AONDE O IP do invasor onde ???
Agradeço.
Olá Fabiano..... obrigado..... vai ser criado em IP->FIREWALL->ADRESS LISTS um lista de IPS que forem bloqueados........ cahamado port scanners.... Grande Abraço.
Excluir