Honeypot (горшочек с мёдом) – ресурс, представляющий собой приманку для злоумышленников. В нашем случае всё будет немного проще. Горшочком является наше сетевое устройство, доступ к которому будут стараться получить все, кому не лень. Особенно, если наше устройство опубликовано (имеет публичный IP-адрес) в глобальной сети.

Будем действовать на опережение и создадим несколько правил, которые будут блокировать дальнейшие попытки подключений с IP, с которых опрашивались не опубликованные нами порты¹⁾. Проще говоря будем блокировать тех, кто попытался открыть те порты, на которых у нас ничего нет, т.е. вероятно занимался сканированием устройства.

# создаём правило для upd-портов
/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot UDP" dst-port=53,123,5060 in-interface-list=WAN log=yes protocol=udp src-address-list=!WhiteList place-before=0
# создаём правило для tcp-портов
/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot TCP" dst-port=20,21,22,23,25,53,80,5060,3389,1723 in-interface-list=WAN log=yes protocol=tcp src-address-list=!WhiteList place-before=0

Как видно из блока кода выше, вносим тех, кто попытался нас просканировать в список «BlackList» сроком на неделю и игнорируем тех, кто в списке «Whitelist». Номера портов определяем в соответствии со своими реалиями. Теперь создадим правила для их блокировки:

/ip firewall raw add action=drop chain=prerouting comment=Blacklist in-interface-list=WAN src-address-list=BlackList

Всё. На этом простейшая реализация Honeypot завершена. Дальше можно подумать над тем, чтобы создать связку Mikrotik + fail2ban.