Hola, les voy a dejar unas reglas que estuve probando hace unos días en una empresa y me dieron buenos resultados, también les recuerdo que mi correo electrónico esta abierto para sus preguntas como siempre. (sadamssh@elhacker.net). Esta serie de reglas son muy útiles para filtrar los scanners de puertos y también para identificar si algún usuario de la INTRANET esta haciendo algo sospechoso (escanear puertos) ya que aparte de hacer DROP a la IP también la guarda en la lista Scanner de puertos al a que podemos acceder y ver dichas IPs.Recomiendo estudiar como funciona el protocolo TCP para poder entender en profundidad la funcionalidad de las "rules". Para agregar estas reglas ingresamos en modo consola y ponemos: /ip firewall filterapretamos ENTER y agregamos las reglas Primer regla: La definimos como INPUT que se usa se para procesar los paquetes de entrar en el router, en el protocolo le decimos que procese conexiones TCP todo esto en la solapa GENERAL. Ahora pasamos a la solapa EXTRA en donde se define el PSD (esta opción se usa para detectar los escaneos tanto TCP como UDP) con parametros 21 para WeightThreshold (peso), 3 segundos para DelayThreshold (retardo), 3 para Lop Port Weight (repeticiones) y 1 para High Port Weight (peso alto). FInalmente en la solapa ACTION le decimos que la SOURCE LIST (guarda la ip de donde proviene el escaneo en la lista Scanner de puertos). Allí esta después de 14 días las borra, si ustedes tienen espacio en disco no es necesario definir ese parámetro add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="Scanner de puertos" address-list-timeout=2w comment="Lista con IPs que escanean puertos" disabled=noEstas son las imágenes por si lo quieren hacer en el modo gráfico:    Segunda regla: add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="Scanner de puertos" address-list-timeout=2w comment="NMAP FIN Stealth scan"Estas son las imágenes por si lo quieren hacer en el modo gráfico:    add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="Scanner de puertos" address-list-timeout=2w comment="SYN/FIN scan"Estas son las imágenes por si lo quieren hacer en el modo gráfico:    add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="Scanner de puertos" address-list-timeout=2w comment="SYN/RST scan"Estas son las imágenes por si lo quieren hacer en el modo gráfico:    Quinta regla: add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="Scanner de puertos" address-list-timeout=2w comment="FIN/PSH/URG scan"Sexta regla: add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="Scanner de puertos" address-list-timeout=2w comment="ALL/ALL scan"Séptima regla: add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="Scanner de puertos" address-list-timeout=2w comment="NMAP NULL scan"Después de tener todas estas reglas agregadas tenemos que cortar (bloquear, dropear) esas IPs. Eso lo hacemos con la siguiente regla, que lo que hace es dropear la conexión a las IPs que se encuentran en la lista Scanner de puertosRegla para hacer DROP a las IPs que se encuentran en la lista Scanner de puertos: add chain=input src-address-list="Scanner de puertos" action=drop comment="dropping port scanners" disabled=no |