Então, na verdade se tiver firewall, tmb não gera log, como falei acima, o firewall intercepta antes de chegar no servidor SSH, então não gera log independente da porta.
Versão Imprimível
Então, na verdade se tiver firewall, tmb não gera log, como falei acima, o firewall intercepta antes de chegar no servidor SSH, então não gera log independente da porta.
Faço ao seguinte aqui (de forma resumida): uso portas diferentes da padrão, desativo o que não uso e tudo que chega em determinados portas já jogo na blacklist por 40 dias.
Dessa forma, depois de cair na armadilha o cara não vai ter acesso a mais nada, nem mesmo ao serviço rodando na porta alternativa.
Monitoro as portas 21, 22, 25, 53, 8080, 3128, 3389, 5900.
No momento, essa address list já tem 4000 ips.
Essas regra bloqueiam o input e forward para hosts internos dos ips da lista negra. Ela deve ficar no início, na aba filter:
add action=drop chain=input comment="Drop input lista negra" in-interface=ether1 src-address-list=portscanner
add action=drop chain=forward comment="Drop FW lista negra" src-address-list=portscanner
Essa regra deve ficar no final das outras, também na aba filter, ela efetivamente jogas os ips na address list "portscanner":
add action=add-src-to-address-list address-list=portscanner address-list-timeout=5w5d chain=input comment="Adiciona src_adr para lista negra" dst-port=21-25,53,81,3128,3389,5900,8080 in-interface=ether1 protocol=tcp src-address-list=!trustee
Sendo ether1 onde chega seu link. Se for pppoe tem que selecionar a interface virtual pppoe.
Nessa address list "trustee" coloco ips para burlar esse bloqueio, como por exemplo ip fixo de algum local onde uso para acessar de fora, somente para evitar de fica trancado para fora por engano.
Não gosto muito de dar receita de bolo, por isso não inclui o /ip firewall filter, acho importante entender o que esta sendo feito.
Para testar é so usar o http://www.yougetsignal.com/tools/open-ports/ e primeiro testar a porta real do serviço. Vai dar open port. Depois vc colocar para testar a 22, por exemplo. Vai dar closed. Ai vc testa de novo, se der certo, vai dar closed na porta correta. É só conferir na address list que vai estar o ip do site lá.
Boa tarde, amigo estou postando aqui para vc se proteger com scaners que ficam rondando em sua rede é só setar nas interfaces.
http://eniomarcelobuza.blogspot.com.br/2012/06/bloqueando-port-scanners.html