Найдено 127 результатов
- 12 ноя 2019, 13:34
- Форум: Скрипты
- Тема: скрипт - собираем адреса
- Ответы: 8
- Просмотры: 2214
- 12 ноя 2019, 13:12
- Форум: Скрипты
- Тема: скрипт - собираем адреса
- Ответы: 8
- Просмотры: 2214
Re: скрипт - собираем адреса
Цель - создать список whitelist и далее использовать dst-nat для адресов которые есть whitelist
- 12 ноя 2019, 04:39
- Форум: Скрипты
- Тема: скрипт - собираем адреса
- Ответы: 8
- Просмотры: 2214
скрипт - собираем адреса
Всем привет. Помогите пожалуйста со скриптом, который будет добавлять в адрес лист ip_inet адреса которые выдает провайдер (ip динамические) например /ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.1.99/24 192.168.1.0 bridge-local 1 D 92.37.153....
- 28 мар 2019, 06:06
- Форум: Общие вопросы
- Тема: Роутер и MikroTik mobile app
- Ответы: 13
- Просмотры: 6652
Re: Роутер и MikroTik mobile app
а вы, не через это приложение, а с ПК с помощью WinBox через интернет можете подключиться к своему роутеру ?
- 28 мар 2019, 06:03
- Форум: Общие вопросы
- Тема: Роутер и MikroTik mobile app
- Ответы: 13
- Просмотры: 6652
Re: Роутер и MikroTik mobile app
И этот адрес висит прямо на роутере, в IP -> Addresses? Нет, там висит другой адрес. Это означает, что мой провайдер может блокировать входящие соединения? Тогда самый небезопасный способ — открыть доступ отовсюду на порт 8291 (WinBox), включить в IP -> Cloud службу DDNS — и подключаться по указанн...
- 11 мар 2019, 16:29
- Форум: The Dude
- Тема: не стандартный порт (8291)
- Ответы: 6
- Просмотры: 14811
не стандартный порт (8291)
А что, в DUDE нельзя увидеть Mikrotik с нестандартным портом winbox (8291) ?
- 03 янв 2019, 06:15
- Форум: Общие вопросы
- Тема: Ограничение доступа к роутеру.
- Ответы: 10
- Просмотры: 9293
Re: Ограничение доступа к роутеру.
А доступ по IP регулируется фильтром IP Firewall Filter. Цепочка input. может так ? /ip firewall filter add action=accept chain=input dst-port=8291 in-interface=bridge-local protocol=tcp src-address= ip-адрес add action=drop chain=input dst-port=8291 protocol=tcp src-address=! ip-адрес ip-адрес - э...
- 03 янв 2019, 05:56
- Форум: Общие вопросы
- Тема: Ограничение доступа к роутеру.
- Ответы: 10
- Просмотры: 9293
Re: Ограничение доступа к роутеру.
Для секретности можно еще и порт поменять =)
- 02 янв 2019, 11:39
- Форум: Общие вопросы
- Тема: Ограничение доступа к роутеру.
- Ответы: 10
- Просмотры: 9293
Re: Ограничение доступа к роутеру.
а так можно указать ?
/ip service
set winbox address=ip-address
/ip service
set winbox address=ip-address
- 28 дек 2018, 03:14
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
Ну и я бы правила NAT добавил в обратном порядке, чтобы если второе правило "нашло" хулигана - первое бы тут же сработало на него, не дожидаясь следующего соединения. я тут подумал :oops: насчет порядка правил... если Accept будет вторым правилом (как предлагаете вы), и если хулиган будет...
- 27 дек 2018, 15:26
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
Спасибо!
- 27 дек 2018, 11:52
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
итого в NAT добавить эти правила, первое будет пакеты от "block_rdp" отправлять в input Filter Rules для дальнейшей блокировки, а второе будет заносить адреса в "block_rdp" тех кто будет подпадать под PSD chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-inter...
- 27 дек 2018, 11:41
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
а в Filter Rules, в самый верх добавить
chain=input action=drop protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
chain=input action=drop protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
- 27 дек 2018, 11:14
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
так ?
в самом начале списка NAT
chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
в самом начале списка NAT
chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
- 27 дек 2018, 10:43
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
Я рекомендую "пробрасывать" только легитимные источники, а block_rdp не пробрасывать, чтобы они приземлились в input, а не forward. Где их и заблокировать окончательно, например. Что-то я запутался, подскажите, плиз, а как из forward переделать в input ? а можете поделиться как вы делаете...
- 26 дек 2018, 16:49
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
Вы рекомендуете в NAT делать только "проброс порта", а уже в Filter Rules обрабатывать (фильтровать) так ?
а чем кроме красивости/наглядности в NAT этот прием лучше?
а чем кроме красивости/наглядности в NAT этот прием лучше?
- 26 дек 2018, 16:21
- Форум: Скрипты
- Тема: Отправка уведомления на почту, если кто-то заходит на Микротик
- Ответы: 22
- Просмотры: 17834
Re: Отправка уведомления на почту, если кто-то заходит на Микротик
Покажите пожалуйста, как отправить на почту...Sir_Prikol писал(а): ↑25 дек 2018, 00:51 Ну переделать его на отправку на почту, думаю, без меня справитесь, там несколько строчек добавится.
- 26 дек 2018, 15:22
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
- 25 дек 2018, 10:18
- Форум: Скрипты
- Тема: Отправка уведомления на почту, если кто-то заходит на Микротик
- Ответы: 22
- Просмотры: 17834
Re: Отправка уведомления на почту, если кто-то заходит на Микротик
у меня api.telegram.org не отвечает
попробовал через Opera с включенным VPN - работает !
попробовал через Opera с включенным VPN - работает !
- 24 дек 2018, 05:58
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
Также PSD можно реализовать непосредственно в правилах NAT, которые будут сканеры заносить в Address-List, затем ниже делать Accept для сканеров - и уже потом пробрасывать порты для более легитимных пользователей, например. такое правило ? chain=dstnat action=add-src-to-address-list protocol=tcp ps...
- 23 дек 2018, 17:02
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
На сколько я понимаю, зловреды сначала сканируют все порты, а уже после того как определяют какие порты "отвечают", начинают атаки на эти открытые порты...
Поэтому я подумал, что если дать отбой сканерам портов, то снизиться вероятность взлома RDP, да и нагрузка на сам сервер, как то так
Поэтому я подумал, что если дать отбой сканерам портов, то снизиться вероятность взлома RDP, да и нагрузка на сам сервер, как то так
- 23 дек 2018, 16:50
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
Так как есть открытые порты, то не хочется, чтобы зловреды занимались подбором паролей на сервере...
- 23 дек 2018, 07:19
- Форум: Общие вопросы
- Тема: Drop port scanners
- Ответы: 28
- Просмотры: 10022
Re: Drop port scanners
Chupaka я правильно понимаю, что если используется проброс портов, то правило фильтра "port scanners" не поможет ? /ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Por...
- 23 дек 2018, 06:58
- Форум: Общие вопросы
- Тема: Copy в Mikrotik
- Ответы: 2
- Просмотры: 1250
Copy в Mikrotik
Сегодня обнаружил интересный момент, оказывается при копировании, например правил в Firewall, Winbox копирует все поля, и после изменения в новом правиле остаются "лишние значения", которые не отображаются в winbox!!! Итак по порядку, было такое правило : chain=dstnat action=netmap to-addr...
- 20 дек 2018, 18:13
- Форум: Общие вопросы
- Тема: Firewall - Connections
- Ответы: 6
- Просмотры: 1500