Порт-форвардинг с одного внешнего IP на разные домены в локальной сети

Базовая функциональность RouterOS
Ответить
taravasya
Сообщения: 23
Зарегистрирован: 07 авг 2016, 20:32

Re: Порт-форвардинг с одного внешнего IP на разные домены в локальной сети

Сообщение taravasya »

Ещё вопрос....
Согласно статье, про которую я написал в первом посте, вот эти настройки:

Код: Выделить всё

/ip proxy access 
add dst-port=80 dst-host="123.com" action=allow disabled=no
add dst-port=80 dst-host="abc.com" action=allow disabled=no
add dst-port=80 dst-host="456.com" action=allow disabled=no
add action=deny disabled=no
в моём случае, никак не влияют на ход крейсера... То-есть, хоть включены они, хоть выключены - всё работает. Всё-бы ничего.. но только я беспокоюсь за это:

Код: Выделить всё

/ip web-proxy access 
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" \ 
disabled=no 
add dst-port=80 action=allow comment="Enable Http Connection" disabled=no 
Эти настройки лежат там же, и если они не работают.. значит ли это, что "злоумышленники" будут иметь возможность пытаться воспользоваться моими ресурсами? В частности слать через меня ту же почту... Я попробовал по telnet подключится использую внешний ip, соединения не происходит. Но... возможно этому препятствует мой домашний роутер..
Вообщем... стоит ли мне париться из за этого?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Порт-форвардинг с одного внешнего IP на разные домены в локальной сети

Сообщение Chupaka »

влияют. когда первый блок добавляется - можно ходить только на обозначенные сайты (которые берутся с внутренних серверов). когда же этих правил нет - роутер работает обычным открытым прокси, т.е. можно прописать в настройках системы/браузера его адрес - и ходить в Интернет через него на любой сайт

по Telnet подключаться не надо, я так понимаю, это работает для proxy-протокола (непрозрачного проксирования): если подключиться к прокси и сказать "CONNECT чё-то-там на порт 23", то...
taravasya
Сообщения: 23
Зарегистрирован: 07 авг 2016, 20:32

Re: Порт-форвардинг с одного внешнего IP на разные домены в локальной сети

Сообщение taravasya »

Возникла проблема (((
С включенным WebProxy, роутер работает только 3-4 часа.. Потом виснет наглухо. К нему не достучаться по Winbox-у, и соответственно пропадает интернет для локальных юзеров + "снаружи" тоже невозможно попасть на наши сервера.
Как-то можно отследить от куда ноги растут? Какое то логгирование включить? Сейчас если зайти в System/Logs, отображается только текущая сессия. Как то можно просмотреть что было в прошлой сессии?
И ещё... немножко в оффтоп.. в логах видно, что по тельнету ломятся "левый" admin, root, user, administrator и т.д. и т.п. Не подскажите как их банить по IP автоматом после нескольких неудачных попыток авторизации?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Порт-форвардинг с одного внешнего IP на разные домены в локальной сети

Сообщение Chupaka »

taravasya писал(а):С включенным WebProxy, роутер работает только 3-4 часа.. Потом виснет наглухо. К нему не достучаться по Winbox-у, и соответственно пропадает интернет для локальных юзеров + "снаружи" тоже невозможно попасть на наши сервера.
именно это я и имел в виду, написав тогда:
Chupaka писал(а):з.ы. версия 4.1 вышла более пяти лет назад, и Web Proxy в последующих версиях был много раз доработан в плане стабильности. будут интересные проблемы - подумайте об обновлении :)
taravasya писал(а):Сейчас если зайти в System/Logs, отображается только текущая сессия. Как то можно просмотреть что было в прошлой сессии?
можно в System -> Logging -> Rules включить логирование на disk, а не в memory. Но не факт, что в логе будет что-то интересное
taravasya писал(а):в логах видно, что по тельнету ломятся "левый" admin, root, user, administrator и т.д. и т.п. Не подскажите как их банить автоматом после нескольких неудачных попыток авторизации?
я бы просто выключил telnet:

Код: Выделить всё

/ip service disable telnet
taravasya
Сообщения: 23
Зарегистрирован: 07 авг 2016, 20:32

Re: Порт-форвардинг с одного внешнего IP на разные домены в локальной сети

Сообщение taravasya »

Хм... Тельнет я сразу отключил. В принципе он мне и не нужен по-большому счёту(я его и раньше выключенным держал, а недавно включил, что бы проверить его доступность извне... да и забыл выключить). И вот что интересно... после его отключения перестал подвисать роутер с включённым web-прокси! Во всяком случае, на момент написания этого сообщения прошло вот уже 10 часов и полёт нормальный.
В любом случае - большое Вам спасибо за подсказки.
Ответить