Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.3 Подробнее... Testing: 7.15rc2 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 10:50 25-04-2024

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anton04 (пост) Цитата: Про BOGON можете прочитать тут. Вот к чему эту уточнение? Я же вроде сам изначально написал что это лженастройка! И по этому адресу пишут тоже самое! Там же ниже про "Блокировка TCP-соединений по флагам" - тоже описано как ошибка настройки. И мне же чуть выше в примере правил предлагают сделать точно эту же ошибку. Это что за советы-то такие? Сделай так, как не надо и будет норм?   Еще раз - по тем правилам, что есть у нас - выходит реализация запрошенного: ДА/НЕТ. Если нет - то что именно там совсем НЕ то? Или что частично ТО?   Понятно, что любая настройка будет начинаться с существующих дефолтных настроек. Конечно они там есть. И это имхо вполне разумно, учитывая тот факт, что для большинства разумных эти настройки вполне себе надежны. И т.к. наши требования ничем от такого простейшего пользователя "из дома" не отличаются, кроме как повышенный   контроль по скану портов хотелось бы и защиту от перебора при заходе с Андроидного приложения... ТО разумно было бы услышать что мол, да - процентов на 50/60/80 - у вас уже есть такая защита. А для улучшения вот такие пару/тройку правил подойдут и еще вот такое не помешает. Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 17:30 24-11-2023

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Цитата:  И мне же чуть выше в примере правил предлагают сделать я привел пример , а не предлагал так делать там половину убрать можно , оптимизируйте под себя     Самая простая конфа что бы заработало   /ip firewall filter add chain=input connection-state=established,related /ip firewall filter add chain=input protocol=icmp icmp-options=0 comment="ICMP Echo/Reply" /ip firewall filter add chain=input in-interface=LAN protocol=tcp dst-port=8291,22 commet="Allow remote mgmt" /ip firewall filter add chain=input in-interface=LAN protocol=udp dst-port=53 comment="Allow DNS" /ip firewall filter add chain=input action=drop   /ip firewall filter add chain=forward connection-state=established,related /ip firewall filter add chain=forward in-interface=LAN src-address=192.168.0.0/24 comment="Allow all for LAN" /ip firewall filter add chain=forward action=drop   /ip firewall nat add chain=srcnat out-interface=WAN src-address=192.168.0.0/24 action=src-nat to-address=<wan-ip-address>   Добавлено: input к микротику   forward через него Всего записей: 2588 | Зарегистр. 15-04-2003 | Отправлено: 17:36 24-11-2023 | Исправлено: rosalin, 17:42 24-11-2023

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Загрузил в свой Микротик Ваши правила. Всё отрабатывает отлично. А то, что у Вас не отдупляется ya.ru, так тут могут быть четыре причины. 1) не настроен DNS. 2) не настроен DHCP ( не правильно выдаёт клиентам шлюз и DNS). 3) Ваши LAN порты не в бридже. 4) пров сам мутит какую-то "каку".   И ещё, если хотите, чтобы Вам помогли, то выкладывайте полный конфиг, а не куски. Естественно, "пароли и явки", при этом, можно изменить, но не удалаять это правило полностью.   Как-то так. Мои настройки DNS # Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 18:42 24-11-2023 | Исправлено: HERSOFT, 12:45 25-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору с ya.ru разобрались реально галочку одну забыли поставить для DNS. Инет появился. allow-remote-requests=yes не было. Счетчики крутятся, мегабайты мутятся.   Но  я все же не вдупляю стопудово - КАК и КАКИЕ правила могут полноценно закрыть цель: ИЗНУТРИ могут все выходить наружу: проги, сервисы, ... А вот СНАРУЖИ принимаются лишь только те пакеты - для которых была ранее ИЗНУТРИ создана сессия от какой-то проги/сервиса из локалки... И как ЕДИНСТВЕННОЕ исключение из этого правила - Андроидовское приложение. И нужно как то элементарно защищаться от перебора портов и от перебора паролей для этого единственного входа "снаружи". Никакие особые сервисы не смотрят в инет - нет никаких rdp, sql. Ничего такого. Еще раз - вроде бы я вижу это реализованным в перечисленных правилах firewall'a. НО! может я что-то и упускаю. И вот именно это я и прошу у тех, кто понимает и готов точно добавить/исправить правило(-а) относительно уже имеющихся. Ибо я вот, к примеру, попробовал nmap просканировал айпи офиса - и ожидал, что увижу   увеличение счетчиков в соответствующем правиле и попадание моего айпи в блок лист. НО нет: как был нулем так он и остался. Типа ошибка в правиле?   Есть еще что-то 1000% работающее, что поможет улучшить ту же защиту от скана портов, что уже оказалась среди наших правил? Упрочнить ту же защиту от входа через Mikrotik приложуху. Речь только лишь о правилах! Поэтому и не понятно - а каким боком тут вся   конфа? Защиту-то именно на уровне firewall'a надо прописать - его правила и не более... Или что-то скрыто за пеленой моего непонимания? Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 19:25 24-11-2023 | Исправлено: destiny child, 19:27 24-11-2023

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Цитата: Речь только лишь о правилах! Поэтому и не понятно - а каким боком тут вся   конфа? Всю - это все вкладки Firewall, и только для того, чтобы понять, почему не отвечает яндекс. Ну с этим разобрались, теперь следующий шаг - это Вы хотите правила Firewall? Попробуйте нормально закрытый Firewall, если не много пробросов. Все сервисы Вы "потушили", осталось дело за маллым. Цитата: Ибо я вот, к примеру, попробовал nmap просканировал айпи офиса - и ожидал, что увижу   увеличение счетчиков в соответствующем правиле и попадание моего айпи в блок лист. НО нет: как был нулем так он и остался. Типа ошибка в правиле? Для этого есть защита от сканера портов. #       И ещё, роутеру, при защите, плевать кто ломиться на него, android, windows, linux или DOS 6.22. Он их не распознает в лицо. Он защищает порты от некой последовательности событий. Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 22:27 24-11-2023 | Исправлено: HERSOFT, 22:34 24-11-2023

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Цитата: Вот к чему эту уточнение? Я же вроде сам изначально написал что это лженастройка! И по этому адресу пишут тоже самое! С таким мнением дворником работать как и тому кто эту статью написал. Из сети провайдера флуда не меньше чем из интернета.   из статьи Здесь я люблю задавать вопрос. Почему Вы решили заблокировать сеть 192.0.2.0/24, но при этом не стали блокировать 192.0.3.0/24 или 192.0.4.0/24 или 192.0.5.0/24?   если бестолковый писатель статьи не знает почему сеть 192.0.2.0/24 внесли а остальные нет то следует почитать на эту тему. Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 05:48 25-11-2023 | Исправлено: alexnov66, 14:20 25-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HERSOFT (пост) Цитата: Вы хотите правила Firewall? Попробуйте нормально закрытый Firewall, если не много пробросов. Все сервисы Вы "потушили", осталось дело за маллым. Да, хочется. Дык вроде текущий и показанный ранее мной набор правил это и осуществляет. Пробросов вообще быть никуда и ничем не должно быть. Ок - малое это что?   HERSOFT (пост) Цитата: Для этого есть защита от сканера портов.   Именно она и УЖЕ сформирована была - вы точно видели мои правила? Повторю: вот вырезка вопрос был - это реально все, что можно/достаточно/логично по этой теме? Просто если да - то что ж - круто)) Я это понял. оказывается)))   DenSyo (пост) Цитата: Ваши текущие правила позволяют сделать несколько попыток авторизоваться на устройстве, а если понимать, что после первой попытки вторая доступна через минуту, то можно брутить. Вот это не понял. КАК это вдруг сработает, если айпи брутящего после 3 подряд попытки улетит в банлист? Или предполагаете, что бот начнет выдавать минутную паузу на все свои попытки? Ну дык мой пароль на максималке возможностей брутится около пары тысячелетий что ли. БЕЗ пауз... VPN к сожалению - вне возможностей и удобств. Это однозначно.   alexnov66 (пост) Цитата: Из сети провайдера флуда не меньше наверное нам везет - вообще ничего похожего на такой броадкастинг локальных пакетов не зафиксировано. А по поводу необходимости этих подсетей: https://www.team-cymru.com/bogon-networks Может имеется в виду проблема уровня крупных компаний? Когда реально могло получиться перемешивание одной подсетки с другой? Наш случай - это как раз реально один простой пользователь провайдерского домашнего интернета. Вот как там ему эти богоны попадутся? И/или станут дико зловредными?   По итогу - так еще что-то, овеществленное в команду/правило для "стенки" можно предложить? Чтоб это лишь усилило то - что уже есть в текущем наборе. Ибо как я понял всех вас - ничего неправильного там сейчас нет. Всё хоть и по минимум - но совершенно работоспособно и актуально. Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 21:42 25-11-2023 | Исправлено: destiny child, 23:10 25-11-2023

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Цитата: вопрос был - это реально все, что можно/достаточно/логично по этой теме? Просто если да - то что ж - круто)) Я это понял. оказывается))) Этого достаточно. Только маленькое уточнение. Drop по листам, я бы всё таки доверил RAW. От этого пакеты блокируются "на взлёте" и меньше нагрузка на сам роутер. И не стесняйтесь выложить ещё и NAT. Одному Богу и Вам известно, что Вы там на создавали. Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 13:38 26-11-2023 | Исправлено: HERSOFT, 13:42 26-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HERSOFT (пост) Цитата: И не стесняйтесь выложить ещё и NAT. эта одна единственная строка уже есть в "вырезке", что я выше опять привел. /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN да и нет более ничего ни по требованиям, ни по логике... вроде как для этой "фишки".   DenSyo (пост) Цитата: если есть возможность запустить Винбокс в смысле возможность? Просто есть смартфон и просто там есть установленное Микротик-приложение для адроида. Виндовыми винбоксами никто не пользуется извне. Лишь внутри сети. Поэтому и вопрос - как настроить подключение извне лишь для этого одного Микротик приложения. А вот ТО - что это по сути опять вариация винбокса, разве что под андроид - я даже и не знал. И разумеется никакого списка фиксированных айпи для входа не создать - потому как провайдер выдает для смартфона динамические адреса. Всегда. Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 18:52 26-11-2023 | Исправлено: destiny child, 18:58 26-11-2023

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Виндовыми винбоксами никто не пользуется извне.   Это почему это? port knocking или VPN ещё никто не запрещал. Настроили и пользуйтесь. Всего записей: 2805 | Зарегистр. 14-06-2006 | Отправлено: 18:58 26-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anton04 (пост) Цитата: Это почему это?   просто потому что так получается. нет нужды. Хватает лишь доступа по андроидовскому приложению.   Оно же как оказалось - тот же винбокс. Только на смартфоне. Только вот надо проверку на "вшивость" сделать на входе - сделали - вроде работает. Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 19:08 26-11-2023 | Исправлено: destiny child, 19:23 26-11-2023

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Цитата: эта одна единственная строка уже есть в "вырезке", что я выше опять привел. /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN да и нет более ничего ни по требованиям, ни по логике... вроде как для этой "фишки". Отлично, а то встречал, что влепили туда правило DMZ, при чём не со своего диапазона, и ждали чуда, хотя доказывали с пеной у рта, что там всё хорошо. Цитата: Виндовыми винбоксами никто не пользуется извне Я пользуюсь и все мои знакомые при чём очень активно, и без всяких VPN и port knocking. С телефонного мне не очень удобно. Может потому, что у меня кулаки, как кувалды и мне тяжело в буковки тынцкать? ))) На микротике просто стоит защита от перебора по порту 8291 с блокировкой на три дня. Для проброшенных портов тоже стоит защита. Порты по умолчанию не менял. Этого хватает. Хотя адреса все у всех белые. Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 20:20 26-11-2023

BIGMIRdot Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите новичку, с микротиками только начинаю разбираться. Есть два филиала, локалки связаны через WireGuard, всё работает. Но есть задача по РДП заходить на комп в одной сети по белому айпи второй. Понимаю что надо прописать правила, но не знаю как, мало опыта. Всего записей: 53 | Зарегистр. 02-06-2006 | Отправлено: 13:47 27-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору del Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 14:02 27-11-2023 | Исправлено: destiny child, 14:07 27-11-2023

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BIGMIRdot через dstnat наверное можно , если подсети видят друг друга   Добавлено: add action=dst-nat chain=dstnat comment="RDP" disabled=yes dst-address=Внешний IP dst-port=3389 protocol=tcp \     to-addresses=IP RDP в нужной подсети  to-ports=3389 Всего записей: 2588 | Зарегистр. 15-04-2003 | Отправлено: 16:08 27-11-2023

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BIGMIRdot Цитата: Но есть задача по РДП заходить на комп в одной сети по белому айпи второй. Зачем гонять трафик через роутер? Что мешает входить по внутреннему IP? Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 18:54 27-11-2023

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BIGMIRdot Цитата: Но есть задача по РДП заходить на комп в одной сети по белому айпи второй.   Следует помнить что WireGuard работает на третьем уровне оси и ни когда не заменит ipsek и ovpn, распиаренный инфо помойками WireGuard не лучший вариант для создания тунелей. Отсюда делаем выводы по работоспособности и безопастности всего остального. Не думаю что это дерьмо применит та же компания Cisco Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 19:00 27-11-2023

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору alexnov66 Раскройте мысль, пжалста, про wg vs ipsec. Вроде и тот и тот работают на третьем уровне %) И вроде как нормально wg заменяет уже другие тоннели. Так что про работоспособность - это сильное заявление. А что не так с безопасТностью?   А про Cisco можно сказать, что она и такое дерьмо, как ovpn, не применит Хотя бы просто потому, что у неё своих протоколов хватает Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 20:15 27-11-2023

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование