背景

因为家里的宽带是找电信要了公网IP地址的，所以互联网可以直接访问到我作为出口的RouterOS，而众所周知，互联网上扫描机不知何几，被盯上了的话也是一件相当麻烦的事。

起因

之前在玩RouterOS上的防火墙的时候，发现有一个动作，叫做“add src to address list”，能够将包的源地址添加到某个列表中。俺寻思了一下，发现这能够很好的抵挡扫描机，思路是这样的：

建立防火墙策略，指定一些经常被扫描的目的端口，然后，防火墙的动作是将包的源地址添加到一个叫做sniffer的地址列表中，设定有效时间为30天，然后，让防火墙直接丢弃来自这些地址的包，这样如果某个机器尝试扫描我的出口，触发了这个机制，那这个机器就会直接被ban掉30天。

命令行的话，添加起来是这样的：

/ip firewall filter add action=drop chain=input comment="drop sniffer" in-interface=China-Telecom src-address-list=sniffer
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=22,23,876,3306,3389,137,139,445,5001,6379,27017 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=22,23,876,3306,3389,137,139,445,5001,6379,27017 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=udp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=2323,5555,80,81,37215,8000,8080,8081,8291,8443,53 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=2323,5555,80,81,37215,8000,8080,8081,8291,8443 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=udp
/ip firewall filter add action=drop chain=input comment="drop sniffer" in-interface=China-Telecom src-address-list=sniffer

然后放着一阵子，就会在address list里面看到大量的IP地址。

继续改进

如果想要更加全面的保护，可以选择在防火墙上添加允许一些正常的策略，比如说，允许每秒不超过20个echo-request的icmp包啊之类的，然后在防火墙的末尾，加一条策略，将其他未知的包，都当作扫描机处理，一律有杀错无放过。

但是有时候，ban了对方的ip，也就意味着无法访问对方的IP地址，因为回包会被防火墙丢弃。这时候就要额外的添加一条策略，插在丢弃sniffer的策略的前面：

action是accept就可以了。这样如果是主动对外访问的话，回的包要么是related，要么是established，这样就可以正常访问被ban掉的ip。至于说udp访问可能没有这个状态标记……先暂时忽略吧，出现问题再继续改进。