Найдено 127 результатов

chas99
12 ноя 2019, 13:12
Форум: Скрипты
Тема: скрипт - собираем адреса
Ответы: 8
Просмотры: 2214

Re: скрипт - собираем адреса

Цель - создать список whitelist и далее использовать dst-nat для адресов которые есть whitelist
chas99
12 ноя 2019, 04:39
Форум: Скрипты
Тема: скрипт - собираем адреса
Ответы: 8
Просмотры: 2214

скрипт - собираем адреса

Всем привет. Помогите пожалуйста со скриптом, который будет добавлять в адрес лист ip_inet адреса которые выдает провайдер (ip динамические) например /ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.1.99/24 192.168.1.0 bridge-local 1 D 92.37.153....
chas99
28 мар 2019, 06:06
Форум: Общие вопросы
Тема: Роутер и MikroTik mobile app
Ответы: 13
Просмотры: 6652

Re: Роутер и MikroTik mobile app

а вы, не через это приложение, а с ПК с помощью WinBox через интернет можете подключиться к своему роутеру ?
chas99
28 мар 2019, 06:03
Форум: Общие вопросы
Тема: Роутер и MikroTik mobile app
Ответы: 13
Просмотры: 6652

Re: Роутер и MikroTik mobile app

И этот адрес висит прямо на роутере, в IP -> Addresses? Нет, там висит другой адрес. Это означает, что мой провайдер может блокировать входящие соединения? Тогда самый небезопасный способ — открыть доступ отовсюду на порт 8291 (WinBox), включить в IP -> Cloud службу DDNS — и подключаться по указанн...
chas99
11 мар 2019, 16:29
Форум: The Dude
Тема: не стандартный порт (8291)
Ответы: 6
Просмотры: 14811

не стандартный порт (8291)

А что, в DUDE нельзя увидеть Mikrotik с нестандартным портом winbox (8291) ?
chas99
03 янв 2019, 06:15
Форум: Общие вопросы
Тема: Ограничение доступа к роутеру.
Ответы: 10
Просмотры: 9293

Re: Ограничение доступа к роутеру.

А доступ по IP регулируется фильтром IP Firewall Filter. Цепочка input. может так ? /ip firewall filter add action=accept chain=input dst-port=8291 in-interface=bridge-local protocol=tcp src-address= ip-адрес add action=drop chain=input dst-port=8291 protocol=tcp src-address=! ip-адрес ip-адрес - э...
chas99
03 янв 2019, 05:56
Форум: Общие вопросы
Тема: Ограничение доступа к роутеру.
Ответы: 10
Просмотры: 9293

Re: Ограничение доступа к роутеру.

Для секретности можно еще и порт поменять =)
mt_winbox.jpg
mt_winbox.jpg (192.33 КБ) 8773 просмотра
chas99
02 янв 2019, 11:39
Форум: Общие вопросы
Тема: Ограничение доступа к роутеру.
Ответы: 10
Просмотры: 9293

Re: Ограничение доступа к роутеру.

а так можно указать ?
/ip service
set winbox address=ip-address
chas99
28 дек 2018, 03:14
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

Ну и я бы правила NAT добавил в обратном порядке, чтобы если второе правило "нашло" хулигана - первое бы тут же сработало на него, не дожидаясь следующего соединения. я тут подумал :oops: насчет порядка правил... если Accept будет вторым правилом (как предлагаете вы), и если хулиган будет...
chas99
27 дек 2018, 15:26
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

Спасибо!
chas99
27 дек 2018, 11:52
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

итого в NAT добавить эти правила, первое будет пакеты от "block_rdp" отправлять в input Filter Rules для дальнейшей блокировки, а второе будет заносить адреса в "block_rdp" тех кто будет подпадать под PSD chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-inter...
chas99
27 дек 2018, 11:41
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

а в Filter Rules, в самый верх добавить
chain=input action=drop protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
chas99
27 дек 2018, 11:14
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

так ?
в самом начале списка NAT
chain=dstnat action=accept protocol=tcp src-address-list=block_rdp in-interface=internet log=no log-prefix=""
chas99
27 дек 2018, 10:43
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

Я рекомендую "пробрасывать" только легитимные источники, а block_rdp не пробрасывать, чтобы они приземлились в input, а не forward. Где их и заблокировать окончательно, например. Что-то я запутался, подскажите, плиз, а как из forward переделать в input ? а можете поделиться как вы делаете...
chas99
26 дек 2018, 16:49
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

Вы рекомендуете в NAT делать только "проброс порта", а уже в Filter Rules обрабатывать (фильтровать) так ?
а чем кроме красивости/наглядности в NAT этот прием лучше?
chas99
26 дек 2018, 16:21
Форум: Скрипты
Тема: Отправка уведомления на почту, если кто-то заходит на Микротик
Ответы: 22
Просмотры: 17834

Re: Отправка уведомления на почту, если кто-то заходит на Микротик

Sir_Prikol писал(а): 25 дек 2018, 00:51 Ну переделать его на отправку на почту, думаю, без меня справитесь, там несколько строчек добавится.
Покажите пожалуйста, как отправить на почту...
chas99
26 дек 2018, 15:22
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

Chupaka писал(а): 24 дек 2018, 15:08 При большом количестве пробросов неудобно и путь к дальнейшей путанице :)
а чем плохо использовать использовать Src.Address List ?
по моему вполне наглядно :)
Screenshot_1.jpg
Screenshot_1.jpg (101.56 КБ) 3222 просмотра
chas99
25 дек 2018, 10:18
Форум: Скрипты
Тема: Отправка уведомления на почту, если кто-то заходит на Микротик
Ответы: 22
Просмотры: 17834

Re: Отправка уведомления на почту, если кто-то заходит на Микротик

у меня api.telegram.org не отвечает :(
попробовал через Opera с включенным VPN - работает !
chas99
24 дек 2018, 05:58
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

Также PSD можно реализовать непосредственно в правилах NAT, которые будут сканеры заносить в Address-List, затем ниже делать Accept для сканеров - и уже потом пробрасывать порты для более легитимных пользователей, например. такое правило ? chain=dstnat action=add-src-to-address-list protocol=tcp ps...
chas99
23 дек 2018, 17:02
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

На сколько я понимаю, зловреды сначала сканируют все порты, а уже после того как определяют какие порты "отвечают", начинают атаки на эти открытые порты...
Поэтому я подумал, что если дать отбой сканерам портов, то снизиться вероятность взлома RDP, да и нагрузка на сам сервер, как то так :)
chas99
23 дек 2018, 16:50
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

Так как есть открытые порты, то не хочется, чтобы зловреды занимались подбором паролей на сервере...
chas99
23 дек 2018, 07:19
Форум: Общие вопросы
Тема: Drop port scanners
Ответы: 28
Просмотры: 10022

Re: Drop port scanners

Chupaka я правильно понимаю, что если используется проброс портов, то правило фильтра "port scanners" не поможет ? /ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Por...
chas99
23 дек 2018, 06:58
Форум: Общие вопросы
Тема: Copy в Mikrotik
Ответы: 2
Просмотры: 1250

Copy в Mikrotik

Сегодня обнаружил интересный момент, оказывается при копировании, например правил в Firewall, Winbox копирует все поля, и после изменения в новом правиле остаются "лишние значения", которые не отображаются в winbox!!! Итак по порядку, было такое правило : chain=dstnat action=netmap to-addr...
chas99
20 дек 2018, 18:13
Форум: Общие вопросы
Тема: Firewall - Connections
Ответы: 6
Просмотры: 1500

Re: Firewall - Connections

Samych писал(а): 20 дек 2018, 17:34 Попутный вопрос - а почему в правиле action=netmap , а не, например, action=dst-nat ?
на сколько я понимаю, то у них одинаковая функция, но netmap новее :?

за Eventlog - спасибо!