• Быстрый переход
  • Рубрики
  • Свежие записи
  • Метки
  • Архивы
  • Реклама 1
  • Реклама 2
  • Рейтинг@Mail.ru

    Как защитить микротик от сканирования портов?


    В iptables есть правило
    -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
    (eth1 - интерфейс с ip в интернет)
    Я пробовал вкл и вкл его. И с внешнего ip сканером портов проверял на открытые порты комп с IPtables.
    При вкл правиле ни одного открытого порта на компе не обнаруживалось.

    Как подобное правило реализовать в микротик?

    Код
    /ip firewall filter
    add chain=input in-interface=eth1 protocol=tcp tcp-flags=syn action=reject reject-with=icmp-network-unreachable
    add chain=input in-interface=eth1 protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable

    но если включен Connection Tracking, то проще - так:

    Код
    /ip firewall filter add chain=input in-interface=eth1 connection-state=new action=reject reject-with=icmp-network-unreachable

    Автор: admin, 20 июня 2011
    Рубрики: OS MikroTik Router
    Метки: , , , ,
    2 комментария к сообщению: “Как защитить микротик от сканирования портов?”
    1. Gladivir:

      У меня эти манипуляции по факту не защищают от сканирования, а наглухо запирают порты.

      • Chupaka:

        а где вообще написано, что эти правила защищают от сканирования? =)

        там написано, что сканером проверяли, закрыты ли наглухо порты. и вы представляете, они закрыты 😀

    Написать комментарий

    Последние статьи