Facebook  -  Twitter      

Questo forum fa uso dei cookie
Questo forum utilizza i cookie per memorizzare i dettagli del tuo login o della tua ultima visita. I cookie sono piccoli files di testo salvati nel computer; i cookie da noi utilizzati sono relativi unicamente ai servizi da noi forniti direttamente o dai banner pubblicitari. I cookie su questo forum salvano inoltre i dettagli relativi alle discussioni lette e alle tue preferenze personali. Sei pregato di selezionare il tasto OKAY se sei consapevole della presenza di questi files e ci autorizzi ad utilizarli per le informazioni specificate.

Indipendentemente dalla tua scelta un cookie verrà salvato per memorizzare nel tuo pc la risposta a questo form. Puoi modificare le impostazioni relative ai cookie nelle preferenze del tuo browser.

  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
[Mikrotik] Proteggere la routerboard dal port scan

#1
Per protegge la routeboard dal port scanner ed inserire gli ip di provenienza di questo port scanner è necessario inserire il seguente codice:
[hide]
Codice:
/ip firewall filter

add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"

add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"

add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"

add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
[/hide]
Cita messaggio

#2
(12-09-2013, 18:37)hamtarociaoo Ha scritto:
Per protegge la routeboard dal port scanner ed inserire gli ip di provenienza di questo port scanner è necessario inserire il seguente codice:
[hide]
Codice:
/ip firewall filter

add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"

add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"

add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"

add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
[/hide]



Messo anche la regola suddetta che sì è inserita, stavolta, senza problemi!
Routerboard superprotetta !
Cita messaggio

#3
(12-09-2013, 18:37)hamtarociaoo Ha scritto:
Per protegge la routeboard dal port scanner ed inserire gli ip di provenienza di questo port scanner è necessario inserire il seguente codice:
[hide]
Codice:
/ip firewall filter

add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"

add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"

add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"

add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
[/hide]

Ciao, mi spieghi bene come funzionano queste regole nel firewall?
Non ho avuto problemi ad inserirle ma testandole non è cambiato nulla.
Ho fatto sia un port scanning dalla LAN che da esterno.
Grazie.
Cita messaggio

#4
Aggiungono ad una blacklist dinamica gli ip che ripetono un porto scanning
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#5
(14-02-2015, 15:18)trottolino Ha scritto: Aggiungono ad una blacklist dinamica gli ip che ripetono un porto scanning

la lista viene creata automaticamente? dopo quanti tentativi?
Cita messaggio

#6
(14-02-2015, 16:24)Hero80 Ha scritto:
(14-02-2015, 15:18)trottolino Ha scritto: Aggiungono ad una blacklist dinamica gli ip che ripetono un porto scanning

la lista viene creata automaticamente? dopo quanti tentativi?
Creata automaticamente dopo 3 tentativi ripetuti
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#7
Buongiorno Ragazzi, un dubbio:

La seguente regola
Codice:
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
va posizionata in alto nella lista delle Filter Rules

Per quanto riguarda le seguenti invece
Codice:
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"

add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"

add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
Come devo comportarmi?
Vanno sempre inserito al top della lista Filter Rules?

Grazie come sempre!
A presto.
Cita messaggio

#8
Certo altrimenti non ha senso processarli dopo gli attacchi

Inviato dal mio SM-T335 utilizzando Tapatalk
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#9
(15-01-2016, 14:24)kikko Ha scritto: Certo altrimenti non ha senso processarli dopo gli attacchi

Inviato dal mio SM-T335 utilizzando Tapatalk

Ciao Kikko, grazie come sempre per la disponibilità, ho fatto come dici, ma almeno per ora non è stato inserito nessun ip nella blacklist.
Una cosa mi chiedevo, io ho una regola attiva per la porta RDP* dall'esterno. E' possibile intercettare i tentativi di connessione malevoli e inserire gli ip nella stessa blacklist?

*La regola è abilitata per tutti gli ip(visto che non posso prevedere da quale ip arrivano le richieste sicure) ed ho notato che ci sono tentativi di connessione dalle più svariate parti del mondo (Cina, USA etc).
Cita messaggio

#10
Certo devi creare una regola che ti aggiunge man man gli ip in una lista da te creata ( solo a livello di nome )

Inviato dal mio SM-T335 utilizzando Tapatalk
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio


[-]
Condividi/Segnala (Mostra tutti)
Facebook Linkedin Twitter

Discussioni simili
Discussione Autore Risposte Letto Ultimo messaggio
  [Mikrotik] Proteggere la rete lan kikko 10 4'325 17-01-2017, 15:26
Ultimo messaggio: kikko
  Un altro esempio di Port Forwarding hamtarociaoo 0 840 22-11-2015, 18:11
Ultimo messaggio: hamtarociaoo

Digg   Delicious   Reddit   Facebook   Twitter   StumbleUpon  


Utenti che stanno guardando questa discussione:
1 Ospite(i)


Powered by MyBB, © 2002-2017 MyBB Group.