.svg.png){kind=logo}
Для того щоб "відловити" тих хто постійно сканує мережі нам потрібно всього пару правил додати до firewall.
Перше що робимо це вмикаємо Safe Mode в Winbox.
Відкриваємо термінал та додаємо правила:
Правило 1:
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp" \
connection-state=new dst-port=22,3389 in-interface=ether1 protocol=tcp
- Правило створю список в який будуть додаватися ті хто сканує мережу.
- Правило визначає скільки "впійманий" ip адрес буде знаходитись в списку заблокованих
- Правило визначає на яких портах (22,3389) моніторити сканування на я якому інтерфейсі та протокол (tcp).
Правило 2:
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment=\
"block honeypot asterisk" connection-state=new dst-port=5000 \
in-interface=ether1 protocol=udp
- Правило створю список в який будуть додаватися ті хто сканує мережу.
- Правило визначає скільки "впійманий" ip адрес буде знаходитись в списку заблокованих
- Правило визначає на яких портах (22,3389) моніторити сканування на я якому інтерфейсі та протокол (tcp).
Правило 3:
/ip firewall raw
add action=drop chain=prerouting in-interface=ether1 src-address-list=\
"Honeypot Hacker"
Тут ми визначаємо які дії будемо приймати для тих хто попав в список любителів просканувати мережу.
Вимикаємо Safe Mode в Winbox
Все готово. Тепер ті хто сканує мережі будуть знаходитись в IP-Firewall-Adress Lists з позначкою "Honeypot Hacker".
Немає коментарів:
Дописати коментар