Там сложная ипсек магия. На первый взгляд связь между пирами есть, а трафика нет, интерфейсов нет. Смотришь на пакет, вот он есть, попал в айписек и его сразу нет :) а на другой стороне вдруг отгуда ни возьмись из гиперпространства вышел этот же пакет.

Вариант завернуть пиров в другую таблицу маршрутизации где нет блекхолов мне кажется интересным, но надо пробовать

есть такое))
но у меня есть возможность смены адреса своего, так что впринципе можно поиграться)

В общем смотрите, что получилось у меня
Поднял дроп правило в самое начало, задизаблил фастрек на всякий случай, и один фиг nmap видно что блочится в адрес листе, но каким то чудом находи открытые порты..

Сейчас попробовал через prerouting в  RAW дропать по этому списку - теперь все nmap не смог найти эти порты..

Что не нравилось в фаерволу с правилом фильтрации не могу понять..

Сильное колдунство

Покажи правило дропа

самые первые два правила
add action=drop chain=input comment="dropping port scanners" disabled=yes src-address-list=port_scanners
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related log-prefix=ftrk
drop задизаблен потому что сейчас живет в RAW

самые первые два правила
add action=drop chain=input comment="dropping port scanners" disabled=yes src-address-list=port_scanners
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related log-prefix=ftrk
drop задизаблен потому что сейчас живет в RAW

В общем смотрите, что получилось у меня
Поднял дроп правило в самое начало, задизаблил фастрек на всякий случай, и один фиг nmap видно что блочится в адрес листе, но каким то чудом находи открытые порты..

Сейчас попробовал через prerouting в  RAW дропать по этому списку - теперь все nmap не смог найти эти порты..

Что не нравилось в фаерволу с правилом фильтрации не могу понять..

Так тут актион не дроп и форвард а не инпут

ну как не дроп
action=drop chain=input
add action=drop chain=input comment="dropping port scanners" disabled=yes src-address-list=port_scanners

Да, на второе посмотрел, а счётчик тоже не тикает?

Народ привет!
Только начинаю в освоении фаервола на микротике и самого микротика в целом, так что сильно не пинайте если что))
В общем вопрос в следующем, есть правило идет сразу за фастреком т.е. второе, которое дропает всех из списка port_scanners
В список port_scanners динамичесик добавляются по фильтру PSD как на wiki
Дело в том, что когда я NMAP'ом сканирую свой белый адрес (сижу вне своей сети), вижу, что первым делом он добавляет меня  в этот список и потом дропает меня (вывожу в лог в котором видно как NMAP перебирает порты) но дело в том что NMAP каким то чудом все равно находит некоторые открытые порты, как интересно?

вот это вот добавление сканеров в блэклисты - баловство.

какие бест практисы есть для этого?

вот это вот добавление сканеров в блэклисты - баловство.

Сформулируй для чего :-)