Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.3 Подробнее... Testing: 7.15rc1 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 16:26 19-04-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Accessor Попробуйте так Код: :local result [/tool fetch url="https://i.mt.lv/pdf/archive/subnet_diagram_helper.pdf" as-value mode=https]; :if ($result->status=finished) do={:log info "Status finished";} else={:log info "Status failure";} Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 19:56 25-09-2019 | Исправлено: alexnov66, 19:56 25-09-2019

Accessor Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги, всем спасибо за помощь. Окончательный рабочий скрипт для ClouDNS выглядит так: Код: :local result [/tool fetch url="https://ipv4.cloudns.net/api/dynamicURL/\?q=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" mode=https as-value output=user];   :if ($result->"status"="finished") do={             /log info "ClouDNS updated.";         } else={             /log error "ClouDNS not updated!";         } Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 20:25 25-09-2019

tolyn77 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем привет есть MikroTik RB3011, у него 10 портов, но для vlan они разделены, на сколько я понял, switch1 (1-5 порт) и switch2 (6-10 порт), как можно объединить 2-10 порт в vlan2? заранее благодарен Всего записей: 1498 | Зарегистр. 07-09-2004 | Отправлено: 10:37 30-09-2019

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору tolyn77 Цитата: для vlan они разделены, на сколько я понял, switch1 (1-5 порт) и switch2 (6-10 порт), как можно объединить 2-10 порт в vlan2? Там два свитч-чипа, с этими группами портов. Для объединения в один большой свитч надо через Bridge объединить две группы портов. Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:29 30-09-2019

tolyn77 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka а как в Bridge это сделать? Всего записей: 1498 | Зарегистр. 07-09-2004 | Отправлено: 15:51 30-09-2019

tolyn77 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka не могу найти, где в bridge объединение групп? Всего записей: 1498 | Зарегистр. 07-09-2004 | Отправлено: 09:17 01-10-2019 | Исправлено: tolyn77, 09:21 01-10-2019

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору tolyn77 Либо просто добавить все нужные порты в один бридж, либо создать VLAN через Switch, вывести его на CPU - и там уже два вилана объединить в бридж. Под рукой нет ничего такого посмотреть детально... Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:59 01-10-2019

fakintosh Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору EAKislov   Те у кого динамические ip - записать в адрес лист все подсети конкретного провайдера. У меня так доступ к VPN реализован - все подсети двух опсосов добавлены, и не важно какой ip на выходе будет - телефон подцепится к домашнему VPN без проблем а остальному миру VPN недоступен         ---------- Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама! Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 18:05 01-10-2019 | Исправлено: fakintosh, 18:08 01-10-2019

leshiy_odessa Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору EAKislov Цитата: дело в том что клиенты могут сидеть на динамических IP   Микротик давно научился работать DDNS + белый список. ТО есть в списки можно заносить DDNS имя и оно преобразуется в IP. Если пользователи домашние, то донастройте роутер на DDNS. Если они бегают, то дайте им URL с токеном и они будут сообщать Микротик свой текущий IP.   Ну или, как правильно написали выше, заносить весь диапазон провайдера. Например я минут за пять нашел MTS Украина — https://bgp.he.net/     Цитата: но может кто-нибудь подскажет можно ли на mikrotik как либо отслеживать подобные атаки Всё эти скрипты для сбора черных списков я не признаю и считаю идиотскими. Это же маразм вылавливать и блокировать весь интернет, когда есть белые списки. Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 18:36 01-10-2019 | Исправлено: leshiy_odessa, 18:38 01-10-2019

fakintosh Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору С белым ip в микротике доступ в него с портом который должен быть открыт 24 на 7 только по адрес листу который прописан в Firewall, и не важно, статические или динамические адреса. ---------- Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама! Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 18:42 01-10-2019

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору EAKislov я сделал так: 1) включил в винде аудит ошибок входа 2) в планировщике отлов события 4625 с запуском powershell скрипта: attemptRdpLogin.ps1 $(IpAddress) $(TargetUserName) 3) в скрипте используя dll https://forum.mikrotik.com/viewtopic.php?f=9&t=108989 конектимся к микротику и запускаем на нем заранее созданый в микротике скрипт badRdpLogin таким способом: Send-Mikrotik -Connection $MikroTik -Command '/execute' -Attributes "script={:global badRdpLogin; $badRdpLogin banip=подставляемip banlogin=подставляемлогин}" 4) скрипт на микротике получив ip проверяет что он не в белых списках, и если нет - кладет ip в черный список на n дней   Выглядит так:Подробнее... Всего записей: 2619 | Зарегистр. 28-04-2006 | Отправлено: 20:37 01-10-2019 | Исправлено: fly_indiz, 23:24 01-10-2019

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору /ip firewall filter add action=drop chain=input comment="Guard-RDP Access" src-address-list="Black List RDP" add action=add-src-to-address-list address-list="Black List RDP" address-list-timeout=10m chain=forward connection-state=new dst-port=3389 log=yes log-prefix="BLACK RDP" protocol=tcp src-address-list="RDP Stage 3" add action=add-src-to-address-list address-list="RDP Stage 3" address-list-timeout=3m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list="RDP Stage 2" add action=add-src-to-address-list address-list="RDP Stage 2" address-list-timeout=2m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list="RDP Stage 1" add action=add-src-to-address-list address-list="RDP Stage 1" address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp   Мне этого хватает для защиты RDP. При чём на стандартном порту. Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 22:45 01-10-2019 | Исправлено: HERSOFT, 22:55 01-10-2019

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HERSOFT чот даже слишком много попыток негодяям даешь ))). у мну бан при первой неверной авторизации )))) но правда сложной ценой.   П.С. кому надо для скриптинга для адреслистов - фунька проверки принадлежности checkip подсети checknet так как checknet берется из адреслиста - он может там быть в одном из трех видов: 1) X.X.X.X/X 2) X.X.X.X-X.X.X.X 3) X.X.X.X соответственно вот код кому надо: Код: :global isIpMatchNet do={     :if ( [:typeof $checkip] = "nil" || [:typeof $checkip] = "num" || [:typeof $checkip] = "bool" ) do={ :return false; };     :if ( [:typeof $checkip] = "str" && ( [:len $checkip] < 7 || [:len $checkip] > 15 ) ) do={ :return false; };     :if ( [:typeof $checknet] = "nil" || [:typeof $checknet] = "num" || [:typeof $checknet] = "bool" ) do={ :return false; };     :if ( [:typeof $checknet] = "str" && ( [:len $checknet] < 7 || [:len $checknet] > 31 ) ) do={ :return false; };     :if ( [:typeof [:find $checknet "/"]] = "num" ) do={         :return ( [:toip $checkip] in $checknet );     };     :if ( [:typeof [:find $checknet "-"]] = "num" ) do={         :local lowip [:toip [:pick $checknet 0 [:find $checknet "-"]]];         :local highip [:toip [:pick $checknet ( [:find $checknet "-"] + 1) [:len $checknet]]];         if ( $lowip <= [:toip $checkip] and [:toip $checkip] <= $highip ) do={ :return true; };     };     :if ( [:typeof [:toip $checknet]] = "ip" ) do={         if ( [:toip $checkip] = [:toip $checknet] ) do={ :return true; };     };     :return false; };   П.П.С. при парсинге адреслистов в "foreach i" не забывайте проверять :if ( [/ip firewall address-list get $i disabled]!=yes ) Всего записей: 2619 | Зарегистр. 28-04-2006 | Отправлено: 22:58 01-10-2019 | Исправлено: fly_indiz, 00:50 02-10-2019

tolyn77 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka а так он поймет что певый порт это vlan - 1, а со второго по десятый vlan - 2   Всего записей: 1498 | Зарегистр. 07-09-2004 | Отправлено: 07:31 02-10-2019 | Исправлено: tolyn77, 14:27 03-10-2019

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: HERSOFT чот даже слишком много попыток негодяям даешь ))). у мну бан при первой неверной авторизации ))))     У меня бабаушки, которые свой пароль с третьего раза вспоминают. Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 08:48 02-10-2019

tolyn77 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору что то настроил, что вся сеть упала вроде бы и задача простая сделать две сети, одна для управления rb3011 вторая - изолированная сделал vlan1 для ether1, vlansfp1 для sfp1, vlan2 для ether2, vlan3 для ether3, vlan4 для ether4, vlan5 для ether5 назначил адрес Addresses 10.10.0.229/24 на vlan1 а дальше как разделить и изолировать? Всего записей: 1498 | Зарегистр. 07-09-2004 | Отправлено: 08:28 04-10-2019

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Нашёл более изящное решение защиты RDP Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 23:50 06-10-2019

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HERSOFT Там сильно много попыток сделано, достаточно 5 попыток, которые подключаются неоднократно блокируются сразу. Делать надо на все порты которые пробрасываются или используются для подключения к микротику. Ограничение в правиле в 15 портов, если нужно больше то делать дополнительные правила. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 05:47 07-10-2019 | Исправлено: alexnov66, 08:45 07-10-2019

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование