Инструкции по настройке MikroTik

Нужна настройка сканера портов в MikroTik?

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Важно! Телефон указывать в формате +380YYXXXXXXX(+79YYXXXXXXX)

Как заблокировать сканер портов в MikroTik

Первой самой распространённой привычкой системных администраторов для удаленного доступа это изменения порта. 3389 можно изменить на 34561, стандартный порт web интерфейса шлюза с 80 на 1412 и ручной перебор при попытке доступа станет вечным.

Наличие утилит типа NMAP решает эту задачу в течении 2 минут. Держать высокую планку защиты сети поможет несколько правило в Firewall-е.

Настройка находится в IP->Firewall

/ip firewall filter
add action=drop chain=input comment="Drop - port scanners" src-address-list=\
Port-Scanners
add action=drop chain=forward comment="Drop - port scanners" \
src-address-list=Port-Scanners
add action=add-src-to-address-list address-list=Port-Scanners \
address-list-timeout=2w chain=input comment="Scan - Scan Ports" protocol=\
tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=Port-Scanners \
address-list-timeout=2w chain=input comment=\
"Scan - NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=Port-Scanners \
address-list-timeout=2w chain=input comment="Scan - SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=Port-Scanners \
address-list-timeout=2w chain=input comment="Scan - SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=Port-Scanners \
address-list-timeout=2w chain=input comment="Scan - FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=Port-Scanners \
address-list-timeout=2w chain=input comment="Scan - ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=Port-Scanners \
address-list-timeout=2w chain=input comment="Scan - NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

значения Timeout:

• 14d 00:00:00;
• none dynamic – будет находиться в address list до перезагрузки роутера;
• none static – постоянная запись(сохраняется в конфигурации).

По результатам работы сканера создаются записи в Address Lists, которым запрещен доступ в цепочке input на 14 дней.

Поддержи автора статьи, сделай клик по рекламе ↓↓↓