Безопасность в микротике

Базовая функциональность RouterOS
Musulmanin
Сообщения: 434
Зарегистрирован: 06 авг 2019, 15:44
Откуда: Оренбург

Безопасность в микротике

Сообщение Musulmanin »

Добрый день!
Как обезопасить микротик от взлома?
Оставил вход только по winbox.
Может прописать вход только через определенный ip? Как это сделать? Присвоить статический IP сетевой карте и потом что?
Учиться учиться и еще раз учиться!
https://vk.com/orenburgit
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Безопасность в микротике

Сообщение Chupaka »

Добрый.

Вход по WinBox только из локалки или из Интернета тоже?

Разрешённые для входа адреса можно настроить в IP -> Services -> winbox -> Available From.

Рекомендую на время экспериментов включить Safe Mode, чтобы случайно не заблокировать доступ себе :)
Musulmanin
Сообщения: 434
Зарегистрирован: 06 авг 2019, 15:44
Откуда: Оренбург

Re: Безопасность в микротике

Сообщение Musulmanin »

Как узнать только по локалке или по интернету тоже есть возможность?
Учиться учиться и еще раз учиться!
https://vk.com/orenburgit
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Безопасность в микротике

Сообщение Chupaka »

Посмотреть на конфигурацию. По умолчанию доступ из WAN закрыт, но некоторые пользователи любят удалять дефолтную конфигурацию.
Musulmanin
Сообщения: 434
Зарегистрирован: 06 авг 2019, 15:44
Откуда: Оренбург

Re: Безопасность в микротике

Сообщение Musulmanin »

Где?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Учиться учиться и еще раз учиться!
https://vk.com/orenburgit
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Безопасность в микротике

Сообщение Chupaka »

Terminal, там

Код: Выделить всё

/export hide-sensitive
Musulmanin
Сообщения: 434
Зарегистрирован: 06 авг 2019, 15:44
Откуда: Оренбург

Re: Безопасность в микротике

Сообщение Musulmanin »

Код: Выделить всё

[admin@MikroTik] > /export hide-sensitive
# aug/24/2019 00:19:45 by RouterOS 6.45.3
# software id = XTEL-UZ27
#
# model = RouterBOARD 941-2nD
# serial number = 7DE608A34EEA
/interface bridge
add admin-mac=CC:2D:E0:02:A4:32 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    ssid=MikroTik-02A436 wireless-protocol=802.11
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=561137927
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik
add name=profile supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address=CE:2D:E0:02:A4:36 master-interface=wlan1 name=wlan2 \
    security-profile=profile ssid=FREE
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=drop chain=forward disabled=yes in-interface=wlan2
add action=drop chain=forward disabled=yes out-interface=wlan2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=77.88.8.7,77.88.8.3 \
    gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fa
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-st
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" conn
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-stat
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" i
    out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] > 
Спасибо, а без терминала можно как взглянуть?
Учиться учиться и еще раз учиться!
https://vk.com/orenburgit
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Безопасность в микротике

Сообщение Chupaka »

Взглянуть на что именно?

Да, в input доступ закрыт не из LAN.
Musulmanin
Сообщения: 434
Зарегистрирован: 06 авг 2019, 15:44
Откуда: Оренбург

Re: Безопасность в микротике

Сообщение Musulmanin »

А где тут input?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Учиться учиться и еще раз учиться!
https://vk.com/orenburgit
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Безопасность в микротике

Сообщение Chupaka »

/ip firewall filter chain=input прячется, удивительно, в IP -> Firewall -> Filter, цепочка input :)
Musulmanin
Сообщения: 434
Зарегистрирован: 06 авг 2019, 15:44
Откуда: Оренбург

Re: Безопасность в микротике

Сообщение Musulmanin »

И что сделать то нужно?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Учиться учиться и еще раз учиться!
https://vk.com/orenburgit
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Безопасность в микротике

Сообщение Chupaka »

Это вы мне скажите, что сделать хотите. Я, вроде, на все вопросы выше ответил.
Musulmanin
Сообщения: 434
Зарегистрирован: 06 авг 2019, 15:44
Откуда: Оренбург

Re: Безопасность в микротике

Сообщение Musulmanin »

Я хочу чтобы с интернета не могли зайти на мой микротик. У меня за это какое правило отвечает?
Учиться учиться и еще раз учиться!
https://vk.com/orenburgit
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Безопасность в микротике

Сообщение Chupaka »

Четвёртое