Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.3 Подробнее... Testing: 7.15rc2 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 10:50 25-04-2024

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 (пост) Цитата: Вот именно не могут в одну секунду протестировать столько портов блииин. я лох... в минуту конечно же.... вот это я прочитал записи в логе микрота))))))))))))) А ща вот вообще жесть была - 166 портов за одну минуту... ВСЕ после 3000. И я не понимаю - почему уже после первых 21 попыток (это же стоит по умолчанию в правиле, а вес портов после 1024 выставлен в 1) этот айпи не попал в блеклист? ТОЛЬКО после этих 166 "пробитий" он туда попал. Ну ерунда же... Для дефолтных настроек в случае своего сканирования, злоумышленник должен в течение выставленных трех секунд просканировать 7 портов в диапазоне от 0 до 1023 или, например, 21 порт в диапазоне 1024 — 65 535.   И вот это: Цитата: И я все же логику работы этой защиты не понимаю окончательно - эти входящие пакеты - они, попадая в список контроля list_drop_scan_all на эти пресловутые 3 секунды, ДАЛЬШЕ по ветке обработки пакетов никуда не проходят? Типа, пока не будет принято решение - атака ли идет из этих пакетов на порты или нет? - роутер всегда работает с задержкой что ли? Или пакеты все же дальше проваливаются? НО тогда же получается, что свою злонамеренную часть работы они выполняют - они же все равно "стучат в порт", ПРОВЕРЯЮТ доступность порта и отдают ответ нападающему! для вас понятно? Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 16:18 30-12-2023 | Исправлено: destiny child, 19:19 30-12-2023

fscpsd Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DenSyo Цитата: Как обработать эту ошибку и продолжить выполнение скрипта? А пропинговать предварительно ваше устройство на предмет его доступности — не сработает? Цитата: смайлики в коде как-то можно отключить? Есть специальный тег: Код: программный код Всего записей: 1854 | Зарегистр. 16-09-2010 | Отправлено: 08:10 05-01-2024 | Исправлено: fscpsd, 08:21 05-01-2024

zBear Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DenSyo Цитата: смайлики в коде как-то можно отключить? Всего записей: 1635 | Зарегистр. 20-02-2007 | Отправлено: 09:10 05-01-2024 | Исправлено: zBear, 09:12 05-01-2024

contrafack Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Создал IPIP туннель, по этому инструкцию, вроде все поднялся, теперь хочу поставить пароль (IPSec secret), ну вроде ничего сложного, но не могу понять что ему не нравится.. после ввода пароля выдает ошибку:         Всего записей: 3336 | Зарегистр. 21-04-2008 | Отправлено: 10:16 09-01-2024 | Исправлено: contrafack, 10:17 09-01-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack однако фаст патч отключить надо, надпись не пробовали перевести ?   Код: /interface eoip add comment="nach drueben" name="EoIP2drueben" local-address=1.1.1.1 remote-address=1.1.1.2 tunnel-id=0 ipsec-secret=blabla allow-fast-path=no Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 10:28 09-01-2024 | Исправлено: alexnov66, 10:38 09-01-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack в /ip address должны адреса прописываться фаст патч сразу всегда отключаю сначала прежде чем настраивать. /ip settings set allow-fast-path=no и перезагрузить микротик Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 10:49 09-01-2024 | Исправлено: alexnov66, 10:55 09-01-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack если интерфейсы в бридже то и адреса прописываются на бридже а не на интерфейсе, вы заносили интерфейсы в бридж и не знаете где какой ? в /ip arp показывается какой бридж и какой интерфейс и какой адрес подключен также в в бридже в вкладке hosts Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 11:35 09-01-2024 | Исправлено: alexnov66, 11:37 09-01-2024

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору contrafack  /interface/bridge/port/print - определяете какой бридж /ip/address/print - находите адрес для бриджа   вангую, что єто не решит всех вопросов ---------- Человек по своей природе существо злое. А его добрые поступки - это лишь проявление его силы воли! Всего записей: 2002 | Зарегистр. 16-02-2010 | Отправлено: 11:49 09-01-2024

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору когда какой-либо интерфейс добавляют в бридж (в твоем случае ether7), то он становится slave.   ip адреса нужно вешать только на master интерфейс. в данном случае - бридж будет мастером и поєтому в ip/addr будут только мастер интерфейсьі. нічого не мешает повешать адрес и на слейв - только почти со 100% вероятностью работать правильно не будет ---------- Человек по своей природе существо злое. А его добрые поступки - это лишь проявление его силы воли! Всего записей: 2002 | Зарегистр. 16-02-2010 | Отправлено: 12:25 09-01-2024 | Исправлено: melboyscout, 12:27 09-01-2024

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А как корректно заблочить всю сетку наших "соседей" по выделенному айпи от провайдера - кроме одного айпи = их шлюза? Т.е. вот мы на X.Y.Z.W IP сидим, со шлюзом X.Y.Z.Q, а надо закрыть всех в диапазоне: X.Y.0.0 - X.Y.255.255   Про корректность я в том плане - что ГДЕ должно быть место этих доп.правил? И не нарушит ли их нахождение   работу тех других - ранее созданных? Так-то я это так вижу: /ip firewall filter add chain=input src-address=X.Y.Z.Q action=accept comment="Allow our gateway" add chain=input src-address=X.Y.Z.W action=accept comment="Allow ourselfs" add chain=input src-address=X.Y.0.0/16 action=drop comment="Block neighbors"   Ранее я писал этот запрос. И сам же выдавал пример нужных запрещающих правил. И вот сейчас проверил лишь одно их них (зачеркнутые, как мне тут советовали/уточняли, я не вставлял в Firewall-Filer Rules) - и вроде есть блок со стороны айпишек, входящих в сеть моего провайдера. Чего я и добивался, чтобы они не долбились в микротик. И вроде эти #соседи# не пробивают более другие порты сейчас.... НО! включив лог этого правила, я заметил, что ШЛЮЗ моего провайдера X.Y.Z.Q стал пробивать порт 5678 в широковещательном варианте: 255.255.255.255:5678. И ооочень часто! Инет пишет, что это характерный для микротика порт. ХОТЯ я не нашел службы/сервиса, которые бы работали в прошивке и требовали бы этого открытого порта. Вроде это что-то «Mikrotik Neighbor Discovery Protocol» - но где это управляется как служба? Чтоб закрыть. Или тогда я через winbox локально не смогу заходить/находить этот микротик? Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 14:04 09-01-2024

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору destiny child / ip neighbor настраиваете какие протокольі (у разньіх производителей - свои) на каких интерфейс-листах доступньі. если просто - вьіключив єти протокольі на интерфейсе, оборудование (подключенное к єтому порту - дригие микротики, цьіски) не будет получать информацию про устройство.   например, на єтом порту не будет вещаться, что тут микротик с такой-то роутер ОС, идетификатор, мак .... на возможность подключения через винбокс єто не влияет. если вьіключить на локальньіх портах - просто в окошке не будет "соседних устройств". но по ір и мак (которьій нужно либо запомнить ли ввести вручную) - подключишся Всего записей: 2002 | Зарегистр. 16-02-2010 | Отправлено: 15:00 09-01-2024 | Исправлено: melboyscout, 15:04 09-01-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Цитата: Чего я и добивался, чтобы они не долбились в микротик Так надо блокировать богонс сети что бы не долбились. В raw правило создаёте и долбится не будут. Код:   /ip firewall raw add action=drop chain=prerouting comment="" in-interface-list=wan src-address=!10.6.100.5 src-address-list=list_drop_bogons где адрес 10.6.100.5 исключения с которого например идёт ип тв можно минимуи сетей ввести, если надо полный список, а у меня введён полный подскажу откуда загрузить. к названию я добавляю еще протокол так как для ipv6 совсем другие адреса list_drop_ipv4_bogons, хотя они прописываются в другом месте. Цитата: но где это управляется как служба? создаёте лист интерфейсов с названием к примеру neighbors, заносите интерфейсы на каких она будет слушать, обычно внутренние и тут указываете этот лист интерфейсов, также делается для винбокса и телнета. Код: /ip neighbor discovery-settings set discover-interface-list=neighbors   для винбокса и телнета указывается в другом месте Код: /tool mac-server set allowed-interface-list=telnet /tool mac-server mac-winbox set allowed-interface-list=winbox /tool mac-server ping set enabled=no     по умолчанию указаны все интерфейсы. Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 15:14 09-01-2024 | Исправлено: alexnov66, 15:39 09-01-2024

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору у меня айпи НЕ из богонс сетей, поэтому это правило не сработает. По этим спискам меня и так не долбят. У меня лишь сплошные прямые/белые ip в противниках... Поэтому-то я и думал, что разумно будет ввести три правила, указанные в моей цитате - мол, заблокировать все белые соседние айпи по моей ветке, но при этом не зарубить нафиг айпи шлюза. НО оказалось, что типа этого не надо делать, мол, атакующие не обладают src-address равным айпи шлюза, а своими собственными. Ну вроде как да. Это drop правило на всю мою подсеть X.Y.0.0/16 сейчас вполне успешно работает - более нет ни одного соседа в логах "дятлов" по моей подсетке и сам инет вроде как не заблокировался.... Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 15:37 09-01-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Цитата: у меня айпи НЕ из богонс сетей, это тут ни причём, на реальном у меня ип тв идет с адреса наподобие примера, это уже маршрутизация прова откуда что идёт, а богонс сети надо блокировать, если пров выдаёт серый можно сделать исключение или в адрес листе отключить пул адресов прова.   Добавлено: Цитата: Или тогда я через winbox локально не смогу заходить/находить этот микротик? создаёте правила разрешающие заходить из листа внутренних интефейсов и поднимаете их на самый верх, даже если что то накосячите в правилах из внутренней сети то ни когда не потеряете доступ к микротику, если по адресу сбросит то по маку всё равно зайдёте. Код: /ip firewall filter add action=accept chain=input comment="" dst-port=8291 in-interface-list=list_ipv4_lan protocol=tcp add action=accept chain=output out-interface-list=list_ipv4_lan protocol=tcp src-port=8291 add action=accept chain=input comment="" dst-port=20561 in-interface-list=list_ipv4_lan protocol=udp add action=accept chain=output out-interface-list=list_ipv4_lan protocol=udp src-port=20561     но прежде надо сделать сказанное выше в посте и распределить с каких интерфейсов как можно заходить Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 15:47 09-01-2024 | Исправлено: alexnov66, 16:16 09-01-2024

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 (пост) Цитата: это тут ни причём ну, касательно прояснения может и не причем, но касательно списка сетей, откуда идут подарки - это ТОЛЬКО и ЛИШЬ чистые внешние белые айпи, ни одного внутренне маршрутизируемого, ни одного богонса....   А вот насчет еще более ранее написанного: destiny child (пост) Цитата: И вот это:     Цитата:  И я все же логику работы этой защиты не понимаю окончательно - эти входящие пакеты - они, попадая в список контроля list_drop_scan_all на эти пресловутые 3 секунды, ДАЛЬШЕ по ветке обработки пакетов никуда не проходят? Типа, пока не будет принято решение - атака ли идет из этих пакетов на порты или нет? - роутер всегда работает с задержкой что ли?   Или пакеты все же дальше проваливаются? НО тогда же получается, что свою злонамеренную часть работы они выполняют - они же все равно "стучат в порт", ПРОВЕРЯЮТ доступность порта и отдают ответ нападающему!     для вас понятно?       alexnov66 (пост) Цитата: можно минимум сетей ввести, если надо полный список, а у меня введён полный подскажу откуда загрузить. но все же тогда да, если уж и вводить запрет - то полный по списку. слушаю подсказку))) Всего записей: 3322 | Зарегистр. 01-04-2006 | Отправлено: 16:44 09-01-2024

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование