Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.3 Подробнее... Testing: 7.15rc1 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 16:26 19-04-2024

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня на видеорегистраторы стали вирусы лазить, в результате чего сбиваются сетевые настройки регистраторов, IP вредителей известны. Как на микротике запретить доступ к регистраторам этим вредоносным IP? Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 08:27 25-01-2020 | Исправлено: 4seasons, 10:01 25-01-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4seasons надо же развернутее писать свой конфиг, чтоб понимать о чем речь. А еще лучше прилагать результат своего: Код: export hide-sensitive terse file=filename.rsc; и прикладывать конфиг к своему вопросу.   Ну раз конфига нет - попробуем угадать. Раз лезут из инета, вероятнее всего к нему открыт порт (правилом в таблице "NAT"). Значит отфильтровывать нарушителей будем в цепочке forwad. Делаем список ip-адресов нарушителей в таблице "Address Lists": Код: /ip firewall address-list add address=1.2.3.4 list=NARUSHITELI; /ip firewall address-list add address=5.6.7.8 list=NARUSHITELI; /ip firewall address-list add address=9.10.11.12 list=NARUSHITELI; И делаем правило в таблице "Filter Rules": Код: /ip firewall filter add action=drop chain=forward src-address-list=NARUSHITELI; Скорее всего получится. Всего записей: 2619 | Зарегистр. 28-04-2006 | Отправлено: 11:44 25-01-2020 | Исправлено: fly_indiz, 12:31 25-01-2020

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz С блокированием нарушителей понятно, добавил, надеюсь эти уже не залезут. 1. А можно ли будет как то узнать об отражении атак этих нарушителей? 2. В техподдержке регистраторов мне сказали, что как правило взлом происходит по протоколам ssh и telnet, которые в новых регистраторах они закрыли, а тут судя по всему нет. Можно ли закрыть доступ по этим протоколам именно к регистраторам, потому как у меня свой сервер ssh есть и к нему доступ нужен? Цитата: Код: export hide-sensitive terse file=filename.rsc; Я так понимаю, что это некий скрипт, только я не в курсе как этим пользоваться? Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 14:45 25-01-2020 | Исправлено: 4seasons, 14:46 25-01-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4seasons все что выше в тегах "код" - команды терминала в микротике. исполнение команды: Код: export hide-sensitive terse file=filename.rsc; выгрузит всю текущую конфигурацию микротика в виде листинга команд (за исключением паролей/ключей) в файл с указаным именем. После чего файл можно в в винбоксе найти в Files. Ну и листинг можно сюда под # Всего записей: 2619 | Зарегистр. 28-04-2006 | Отправлено: 15:06 25-01-2020

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Цитата: листинг можно сюда под # Положил #   Только у меня так и остались два вопроса: 1. А можно ли будет как то узнать об отражении атак этих нарушителей? 2. В техподдержке регистраторов мне сказали, что как правило взлом происходит по протоколам ssh и telnet, которые в новых регистраторах они закрыли, а тут, судя по всему, нет. Можно ли закрыть доступ по этим протоколам именно к регистраторам, потому как у меня свой сервер ssh есть и к нему доступ нужен? Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 15:30 25-01-2020 | Исправлено: 4seasons, 15:40 25-01-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4seasons аттак и не будет. правило файрвола: Код: /ip firewall filter add action=drop chain=forward src-address-list=NARUSHITELI; дропает любые пакеты от перечисленных в адреслисте ип-адресов.   Впринципе можно сработку этого правила - отправлять в лог микрота, будет логаться каждый дроп, что не гуд, ну хотя бы примерно увидеть что именно дропнули - временно можно в правиле во вкладке Action поставить галочку Log, только обязательно не забыть её убрать после удовлетворения наблюдения её логов работы, а в последствии просто посматривать на счетчик правила Packets   П.С. пока поизучаю конфиг...   Цитата: 2. В техподдержке регистраторов мне сказали, что как правило взлом происходит по протоколам ssh и telnet, которые в новых регистраторах они закрыли, а тут, судя по всему, нет. Можно ли закрыть доступ по этим протоколам именно к регистраторам, потому как у меня свой сервер ssh есть и к нему доступ нужен? в твоем конфиге в таблице NAT видно 7 правил проброса разных портов на разные внутрисетевые машины с адресами 192.168.0.xxx. Что из этих внутренних машин есть регистратор - тебе виднее. Для отключения проброса порта - соответствующее правило в NAT либо за-disabl-ить либо удалить. (надо заняться контролем что именно на роутере проброшено, куда, и зачем) Всего записей: 2619 | Зарегистр. 28-04-2006 | Отправлено: 15:59 25-01-2020 | Исправлено: fly_indiz, 16:09 25-01-2020

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Цитата: Что из этих внутренних машин есть регистратор - тебе виднее. Там проброшенные порты, кроме 22 (ssh) и 80 (httpd), все порты 5-ти регистраторов. Цитата: Для отключения проброса порта - соответствующее правило в NAT либо за-disabl-ить либо удалить. Так я их для того и пробросил, чтобы из инета заходить самому на регистраторы. Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 16:16 25-01-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тогда неясен смысл вопроса "Можно ли закрыть доступ по этим протоколам именно к регистраторам" Всего записей: 2619 | Зарегистр. 28-04-2006 | Отправлено: 16:18 25-01-2020

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Цитата: Тогда неясен смысл вопроса Хорошо, спрошу по другому. Сами регистраторы плохо себя защищают от сетевых атак. Пока, чтобы как то защитить регистраторы, я предпринял следующие шаги: 1. Перенес сетевые настройки из регистратора в роутер, а в регистраторе оставил сеть по DHCP. 2. Входящие из инета порты регистраторов заменил на более высокие (84 на 20084, 85 на 20085 и тд). Говорят, злоумышленники порты свыше 10000 не сканируют. 3. С твоей помощью добавил черный список нарушителей.   Что еще можно предпринять для сетевой защиты видео регистраторов? Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 16:24 25-01-2020 | Исправлено: 4seasons, 16:35 25-01-2020

leshiy_odessa Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4seasons Цитата:  Что еще можно предпринять для сетевой защиты видео регистраторов?     Вместо создания «черного списка» нужно делать «белый». Если нет выделенного IP, то можно заносить в список весь диапазон провайдера(ов) — bgp.he.net.     Или port knocking. Или вариант с DDNS когда после нажатия URL вы попадаете в «белый список». Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 17:29 25-01-2020

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору leshiy_odessa Цитата: Вместо создания «черного списка» нужно делать «белый». Увы, но у нас это не прокатит, так как за роутером находится http-сервер с нашим сайтом. Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 17:53 25-01-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4seasons можно сделать "белый список" именно для доступа к портам регистратора. Всего записей: 2619 | Зарегистр. 28-04-2006 | Отправлено: 18:11 25-01-2020

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Цитата: "белый список" именно для доступа к портам регистратора Тоже не прокатит, у нас шеф смотрит видео с телефона вне дома и из-за границы. Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 18:19 25-01-2020 | Исправлено: 4seasons, 18:21 25-01-2020

leshiy_odessa Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4seasons Цитата:  Тоже не прокатит, у нас шеф смотрит видео с телефона вне дома и из-за границы.     Для особо непонятливых повторяю — занести в «белый список» IP мобильного оператора шефа дело пары минут.   Назовите имя вашего мобильного оператора и я сделаю за вас работу и предоставлю список IP для занесения в «белый список».   Для совсем непонятливых повторяю. Шев, находясь за границей нажимает в браузере URL, его через 30 секунд заносят в «белый список» и оно получает доступ к камерам.     Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 19:56 25-01-2020

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору leshiy_odessa Цитата: Назовите имя вашего мобильного оператора За границей используется стационарный WiFi. Цитата: Шев, находясь за границей нажимает в браузере URL Увы, но шеф в браузере ничего не нажимает, потому как этим не удобно пользоваться, он смотрит видео через мобильное приложение SoCatch. Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 20:01 25-01-2020 | Исправлено: 4seasons, 23:23 25-01-2020

tigos1 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Помогите каким-то советом: 951ui-2hnd   Была прошивка вроде бы 6.40.5   Зашел в Packages - Check updates Нажал Download & install   Посте этого роутер крутится на перезагрузке. Подумал - восстановлю как всегда через Netinstall   Windows 10 x64 Выбираю первый порт, зажимаю, включаю, определился - подсовываю пошивку И вот тут - засада: Sending offer   а затем на долю секунды Installing надписи исчезают, и - спустя секунд 5 роутер снова готов к прошиванию.   Перепробовал во все порты. Нашел и зажал кнопку обнуления настроек (теперь на ребутах роутер сначала хрипит, а потом пикает о загрузке) Но на прошивание не влияет   Перепробовал штук 8 разных нетинсталлов с разными прошивками, вплоть до бет, пробовал из  шить только "систем" из адвансед пакаджесов   Не пробовал еще подпаиваться COM контроллером чтобы в терминал глянуть, но микроты я из терминала не шил и вообще не представляю что там с микротами делать.   Подскажите как оживить.     PS В доногку хочу спросить: попался mikrotik HAP на прошивке 6.40.9 свободного места более 4.5мб (~26%) Залил в него из экстр той же версии - user-manager, ntp, multicast Пустил в ребут, и он крутится в ребуте.   Попробую нетинсталлом и его ковырнуть, но что могло пойти не так? Я уже просто боюсь обновляться..... Всего записей: 61 | Зарегистр. 20-05-2006 | Отправлено: 01:46 26-01-2020

4seasons Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Цитата: просто посматривать на счетчик правила Packets Я правильно понимаю, что если в Packets ноль, значит правило не срабатывало и это означает, что никто из черного списка не заходил?     Drop черного списка здесь в самом низу. Всего записей: 5566 | Зарегистр. 31-05-2009 | Отправлено: 14:21 26-01-2020 | Исправлено: 4seasons, 14:22 26-01-2020

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору NeoHunter Приветствую. Конфиг смотрели? /export hide-sensitive Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:24 26-01-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4seasons точнее - не пытались заходить. Ну получается так, да.   Добавлено: All надо бы в шапку вынести большими красными буквами - "прежде чем задать вопрос - экспортни и выложи свой конфиг"... Всего записей: 2619 | Зарегистр. 28-04-2006 | Отправлено: 14:25 26-01-2020 | Исправлено: fly_indiz, 14:29 26-01-2020

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование