Mikrotik и блокировка nmap

0

1

Здравствуйте, господа. Блокирую сканирование портов на микроте по каноническому мануалу

# Создаем цепочку для сканеров портов
/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=1h comment="Port scanners to list " disabled=no

# Разделяем по типу сканирования
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=1h comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=1h comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=1h comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=1h comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=1h comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=1h comment="NMAP NULL scan"

# Блокируем сканеров
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
add chain=forward src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no

И захотелось мне добавить белый список адресов, кто может сканить порты безнаказанно.

# Вайтлистим адрес
/ip firewall address-list
add address=10.0.0.1 disabled=no list=whitelist

# Разрешаем вайтлисту всё
/ip firewall filter
add action=accept chain=input in-interface=wan-bridge connection-state=new src-address-list=whitelist

Данный accept воткнул в самый верх списка и надеялся, что как только он сработает остальные правила ему уже будут ни по чём, но не тут то было :(

Собственно сабж, как accept-ить вайтлист так, чтобы он не попадал под другие правила блокировки.

Ссылка

Подозреваю, что дело в connection-state последнего правила. Как минимум надо добавить related и established.

l0stparadise ★★★★★
(25.05.18 17:38:33 MSK)
Последнее исправление: l0stparadise 25.05.18 17:38:52 MSK (всего исправлений: 1)

Ответ на: комментарий от l0stparadise 25.05.18 17:38:33 MSK

Увы не помогло, все также попадаю в бан при сканировании

nmap myproject.ru -A -T4

WoozyMasta ★
(29.05.18 12:10:22 MSK) автор топика

Ответ на: комментарий от WoozyMasta 29.05.18 12:10:22 MSK

Ну тогда заходите в вебмордочку, открываете свои запрещающие фильтры, смотрите, какой из них получает трафик в момент скана и делаете аналогичное разрешающее правило.

l0stparadise ★★★★★
(30.05.18 19:27:40 MSK)

Похожие темы