Bloqueio de port scan, essa regra pode ser personalizada, caso seja utilizada da foma abaixo, caso o IP de origem consulte 2 portas diferente em menos de 1 segundo o Mikrotik irá fazer o bloqueio do IP de origem por 30 minutos, é necessário criar um Address List com o nome “Whitelist” e adicionar os IPs que não devem ser bloqueados nunca. E a lista “WanInterfaces” é a lista com as interfaces Wan do roteador:

Adiciona Port Scanner a lista de bloqueios
/ip firewall filter add chain=input action=add-src-to-address-list tcp-flags=syn connection-limit=!3,32 protocol=tcp src-address-list=!Whitelist address-list=Port_Scanner
address-list-timeout=30m connection-rate=0-4294967295 in-interface-list=WanInterfaces limit=1,1:packet log=yes log-prefix=”=== Bloqueio de Scanner ===”

Lembrando que é necessário a regra que essa regra seja adicionado antes para descartar as proximas conexões do IP de origem, pois a regra acima adiciona o IP na lista “port_Scanner e essa regra descarta os IPs que estiverem nessa lista:

Block Offenders
/ip firewall filter add chain=input action=drop src-address-list=Port_Scanner log=no log-prefix=”=== Block Offenders ===