5
(3)

آیا مدیریت امنیت شبکه برای شما چالش‌برانگیز است؟ آیا نگران حملات سایبری و اسکن پورت (Port Scan) هستید که ممکن است روتر MikroTik شما را هدف قرار دهند؟ محافظت از شبکه شما در برابر مهاجمان اهمییت بسزایی دارد و  Port Scanning اغلب اولین قدم آن‌ها برای کشف آسیب‌پذیری‌هاست.

خبر خوب این است که شما می‌توانید با استفاده از Winbox، ابزار گرافیکی و کاربرپسند میکروتیک، به راحتی یک دفاع قدرتمند در برابر Port Scannerها ایجاد کنید. این مقاله، یک راهنمای گام به گام است که به شما آموزش می‌دهد چگونه با چند کلیک ساده، IPهای مهاجمان را شناسایی و مسدود کنید، با ما همراه باشید تا امنیت روتر MikroTik خود را به حداکثر برسانید و شبکه‌ای آرام و مطمئن داشته باشید!

🕵️ Port Scan چیست و چرا باید در میکروتیک آن را مسدود کنیم؟

Port Scan یک روش رایج است که مهاجمان از آن برای شناسایی پورت‌های باز و سرویس‌های فعال بر روی یک سیستم (مانند روتر میکروتیک شما) استفاده می‌کنند. این کار به آن‌ها اجازه می‌دهد تا دریچه‌های احتمالی نفوذ (مانند سرویس‌های مدیریتی، VPN و…) را پیدا کرده و سپس حملات هدفمندتری را برنامه‌ریزی کنند.

مسدود کردن Port Scannerها در میکروتیک به معنای ایجاد یک سیستم هوشمند است که به طور خودکار، IPهایی را که سعی در اسکن پورت‌های شما دارند، شناسایی و دسترسی آن‌ها را مسدود می‌کند. این مقاله یک مکانیزم دفاعی را پیاده‌سازی می‌کند که بر پایه لیست‌های آدرس پویا (Dynamic Address Lists) کار می‌کند.

📸 راهنمای گام به گام: مسدود کردن Port Scanner در میکروتیک با Winbox

بیایید به سراغ مراحل عملی برویم. تمام مراحل زیر را به دقت دنبال کنید تا از Port Scan در میکروتیک خود جلوگیری کنید.

مرحله 1: ایجاد لیست سیاه (Address List) برای Port Scannerها

اولین قدم، ایجاد یک لیست آدرس است که IPهای مهاجمان به صورت خودکار در آن قرار خواهند گرفت.

  1. ورود به Firewall: در Winbox، به مسیر IP > Firewall بروید.
  2. انتخاب تب Address Lists: روی تب “Address Lists” کلیک کنید.
  3. افزودن لیست جدید: روی دکمه آبی رنگ “+” کلیک کنید.
  4. پنجره New Firewall Address List:
    • List: نامی برای لیست سیاه خود انتخاب کنید. مثلاً Black_List_Port_Scanner_WAN.
    • Comment: یک توضیح برای این لیست بنویسید (اختیاری).
  5. تأیید: روی Apply و سپس OK کلیک کنید.

how-to-block-port-scanner-and-prevent-it-in-mikrotik-Address-list

مرحله 2: ایجاد قانون مسدودسازی IPهای موجود در لیست سیاه

حالا باید دو قانون ایجاد کنیم که ترافیک ورودی از IPهای موجود در لیست سیاه را بلافاصله مسدود کند. این قوانین باید در بالاترین اولویت فایروال قرار گیرند.

الف) مسدود کردن ترافیک ورودی به خود روتر (chain=input)

  1. بازگشت به Filter Rules: به تب “Filter Rules” برگردید و روی دکمه “+” کلیک کنید.
  2. تنظیم تب General:
    • Chain: input (برای ترافیک ورودی به خود روتر)
    • In. Interface: اینترفیس WAN خود را انتخاب کنید.
    • Src. Address List: لیستی که در مرحله ۱ ساختید، یعنی Black_List_Port_Scanner_WAN را انتخاب کنید.
    • Comment: یک توضیح مناسب بنویسید مثلاً Block IPs in the Black List (Router Access).
  3. تنظیم تب Action:
    • Action: drop را انتخاب کنید. (این بهترین گزینه برای جلوگیری از اسکن است.)
    • Log: برای ثبت فعالیت در لاگ، تیک log را بزنید و یک log-prefix وارد کنید.
  4. تأیید: روی Apply و سپس OK کلیک کنید.

how-to-block-port-scanner-and-prevent-it-in-mikrotik-chain=input

ب) مسدود کردن ترافیک عبوری به شبکه داخلی (chain=forward)

همین مراحل را تکرار کنید، با این تفاوت که این بار:

  1. Chain: forward را انتخاب کنید.
  2. بقیه تنظیمات General و Action مشابه قانون قبلی خواهد بود.

مرحله 3: ایجاد قانون شناسایی و افزودن به لیست سیاه (Port Scan Detector)

این مهم‌ترین قانون است که مهاجمان را به طور خودکار شناسایی و به لیست سیاه اضافه می‌کند.

  1. افزودن قانون جدید: در تب “Filter Rules” روی دکمه “+” کلیک کنید.
  2. تنظیم تب General:
    • Chain: input
    • In. Interface: اینترفیس WAN خود را انتخاب کنید.
    • Protocol: 6 (tcp) را انتخاب کنید.
    • Comment: یک توضیح مناسب بنویسید (مثلاً Identify and Add Port Scanners to Black List).
  3. تنظیم تب Extra:
    • PSD: مقدار 21,3,30s را وارد کنید. (این پارامتر کلیدی Port Scan Detector است.)
  4. تنظیم تب Action:
    • Action: add src to address list را انتخاب کنید.
    • Address List: لیست Black_List_Port_Scanner_WAN را انتخاب کنید.
    • Timeout: زمان بلاک شدن IP را وارد کنید. مثلاً 4w2d (چهار هفته و دو روز ≈ ۳۰ روز).
    • Log: تیک log را بزنید و یک log-prefix وارد کنید.
  5. تأیید: روی Apply و سپس OK کلیک کنید.

how-to-block-port-scanner-and-prevent-it-in-mikrotik-Port Scan Detector

how-to-block-port-scanner-and-prevent-it-in-mikrotik

 

⚠️ مرحله 4: بررسی و تنظیم ترتیب قوانین (Rule Order)

این مرحله حیاتی‌ترین بخش است. قوانین مسدودسازی (action=drop) باید قبل از قانون شناسایی و افزودن به لیست (action=add src to address list) قرار گیرند.

  1. بازگشت به Filter Rules: در تب “Filter Rules”، قوانین خود را مشاهده کنید.
  2. جابجایی: با کلیک و کشیدن (Drag & Drop)، قوانین action=drop (قوانین مرحله ۲) را به بالاترین قسمت لیست (نزدیک به بالا) منتقل کنید.
  3. جایگاه نهایی: قانون Port Scan Detector (قانون مرحله ۳) باید پس از قوانین drop و قبل از قوانین کلی‌تر فایروال (مانند قوانین Drop کلی یا Accept) قرار گیرد.

🚀 چه کاری بعد از مسدود کردن اسکنر پورت انجام دهیم؟ (بررسی نهایی)

پس از اعمال و تنظیم ترتیب قوانین:

  • مانیتورینگ: به مسیر System > Log بروید. اگر حمله‌ای انجام شود، لاگ‌هایی با پیشوندهایی که تعیین کرده‌اید (مثلاً Port_Scanner_Detected_WAN) مشاهده خواهید کرد.
  • بررسی IPهای بلاک شده: به تب IP > Firewall > Address Lists بروید. در لیست Black_List_Port_Scanner_WAN، IPهای بلاک شده را مشاهده خواهید کرد که هر کدام یک پرچم D (Dynamic) دارند.
  • رفع بلاک اشتباهی: اگر یک IP قانونی به اشتباه بلاک شد، می‌توانید آن را از لیست “Address Lists” حذف کنید.

نتیجه‌گیری: امنیت پایدار شبکه با کنترل بصری (Winbox)

در مقاله همراه هم یک مکانیزم دفاعی هوشمند و پویا برای مسدودسازی Port Scanner در میکروتیک خود با استفاده از محیط گرافیکی Winbox پیاده‌سازی کردید. این تنظیمات، روتر شما را در برابر بسیاری از حملات اولیه سایبری مقاوم می‌سازد.

آیا به دنبال یک VPS میکروتیک با امنیت بالا و قابلیت مدیریت کامل هستید؟

زویپ سرور با ارائه سرور مجازی (VPS) و اختصاصی میکروتیک در بهترین دیتاسنترهای جهان، زیرساختی مطمئن و امن برای شما فراهم می‌کند. با زیرساخت قوی و پینگ پایین زویپ سرور، می‌توانید با خیال راحت و با سرعت بالا، روتر میکروتیک خود را مدیریت و ایمن‌سازی کنید. همین حالا به خانواده بزرگ مشتریان زویپ سرور بپیوندید و امنیت و سرعت را تجربه کنید! (برای مشاهده پلن‌ها و خرید لایسنس میکروتیک اصلی، به وب‌سایت ما مراجعه کنید:

سرورهای مجازی میکروتیک لایسنس شده و نامحدود:

سرورهای مجازی ایران زویپ سرور:

مشاهده پلن‌های سرورهای مجازی خارج زویپ سرور:

🧐 پرسش‌های متداول (FAQ)

آیا می‌توانم زمان بلاک شدن IP را در Winbox تغییر دهم؟

بله، در پنجره قانون شناسایی (مرحله ۳)، فیلد Timeout را می‌توانید به هر مقدار دلخواه (مثلاً 1d برای یک روز یا 12h برای ۱۲ ساعت) تغییر دهید.

قانون PSD (21,3,30s) دقیقاً به چه معناست؟

به این معناست که اگر یک IP در ۳۰ ثانیه، ۳ پورت TCP مختلف را با الگوی اسکن (وزن ۲۱) بررسی کند، به عنوان مهاجم شناسایی و بلاک می‌شود.

اگر دسترسی Winbox قطع شد، چه کار کنم؟

در صورت قطع دسترسی، احتمالاً یکی از قوانین را اشتباه تنظیم کرده‌اید. باید با استفاده از SSH یا کنسول سریال متصل شده و قوانین اشتباه را غیرفعال یا حذف کنید.

چطور مطمئن شوم که قانون Drop قبل از قانون Add to Address List اجرا می‌شود؟

در تب “Filter Rules”، قوانینی که شماره کمتری دارند (به بالا نزدیک‌ترند) زودتر اجرا می‌شوند. قوانین action=drop باید کمترین شماره را داشته باشند.

منابع:

[1] MikroTik Wiki. Manual: IP/Firewall.
[2] MikroTik Wiki. Manual: IP/Firewall/Filter.
[3] https://help.mikrotik.com/docs/spaces/ROS/pages/328513/Building+Advanced+Firewall.
[4] https://citraweb.com/artikel/146/.
[5] https://mikrotik.co.id/artikel/223/
[6] https://www.proweb.co.id/articles/mikrotik/filter_input_output_forward_mikrotik.html.

چقدر این مطلب مفید بود؟

روی یک ستاره کلیک کنید تا به آن امتیاز دهید!

میانگین امتیاز 5 / 5. تعداد آرا: 3

تا الان رای نیامده! اولین نفری باشید که به این پست امتیاز می دهید.