جلوگیری از پورت‌اسکن در میکروتیک با قابلیت PSD

FIN scan#

add chain=input protocol=tcp  tcp-flags=fin,!syn,!rst,!psh,!ack,!urg  action=add-src-to-address-list address-list=”port scanners”  comment=”NMAP FIN Stealth scan” address-list-timeout=2w

 SYN/FIN scan#
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w

SYN/RST scan#
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w

FIN/PSH/URG scan#
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w

 ALL/ALL scan#
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w

 NULL scan#
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w

۳) بلاک کردن اسکنرها

add chain=input src-address-list=”port scanners”  comment=”Drop port scanners” action=drop

نکات مهم

حتماً رول‌ها رو هم روی chain=forward تست کنید تا اگه یکی از دستگاه‌های داخل شبکه شروع به اسکن کرد شناسایی بشه.

وزن پورت‌ها رو با توجه به حساسیت شبکه خودتون تنظیم کنید.

Address-list رو مرتب بررسی کنید تا خطای شناسایی باعث بلاک شدن سرویس‌های قانونی نشه.

بهتره PSD رو با Rate-limit و لاگ‌گیری ترکیب کنید تا دید بهتری روی حمله‌ها داشته باشید.

نکته مهم: همیشه RouterOS رو به‌روز نگه دارید.