Краткое описание: Руководство по созданию правил блокировки сканера портов в MikroTik.
Как заблокировать сканер портов в MikroTik
Первой самой распространённой привычкой системных администраторов для удаленного доступа это изменения порта. 3389 можно изменить на 34561, стандартный порт web интерфейса шлюза с 80 на 1412 и ручной перебор при попытке доступа станет вечным.
Наличие утилит типа NMAP решает эту задачу в течении 2 минут. Держать высокую планку защиты сети поможет несколько правило в Firewall-е.
Настройка находится в IP->Firewall
/ip firewall filter add action=drop chain=input comment="Drop - port scanners" src-address-list=\ Port-Scanners add action=drop chain=forward comment="Drop - port scanners" \ src-address-list=Port-Scanners add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment="Scan - Scan Ports" protocol=\ tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment=\ "Scan - NMAP FIN Stealth scan" protocol=tcp tcp-flags=\ fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment="Scan - SYN/FIN scan" \ protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment="Scan - SYN/RST scan" \ protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment="Scan - FIN/PSH/URG scan" \ protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment="Scan - ALL/ALL scan" \ protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment="Scan - NMAP NULL scan" \ protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
значения Timeout:
- 14d 00:00:00;
- none dynamic – будет находиться в address list до перезагрузки роутера;
- none static – постоянная запись(сохраняется в конфигурации).
По результатам работы сканера создаются записи в Address Lists, которым запрещен доступ в цепочке input на 14 дней.
А зачем первое правило если оно дублируется вторым ? точнее сказать 2 правило.
add action=drop chain=forward comment=”Drop – port scanners” \
src-address-list=Port-Scanners
первое правило chain=input, а во втором chain=forward
input – трафик адресованный Микротику.
forward – проходящий трафик. Источник Port-Scanners(в интернет пространстве), а в качестве конечного узла выступает как правило локальная сеть. Даже если она явно не определена
Добрый день. Вопрос, а почему правила дропа выше основных?? по логике сначала должны идти правила выявляющие сканирование портов, а потом срабатывать правила дропа или я не прав??
Сорри, я понял почему так, можно не отвечать))
Если эти правила в конце будут – работать будет!?
Правила должны выше правил разрешений и запрета для трафика цепочки input(т.е. – не будет). Иначе пакет просто не дойдёт до сканера.
На примере базового firewall-а, сканер должен быть выше 3-ей строки.
Дропать пакеты нужна на этапе прероутинга
/ip firewall raw add action=drop chain=prerouting in-interface-list=wan src-address-list=”Port-Scanners”