MikroTik.by

Добрый день!
Как обезопасить микротик от взлома?
Оставил вход только по winbox.
Может прописать вход только через определенный ip? Как это сделать? Присвоить статический IP сетевой карте и потом что?

Добрый.

Вход по WinBox только из локалки или из Интернета тоже?

Разрешённые для входа адреса можно настроить в IP -> Services -> winbox -> Available From.

Рекомендую на время экспериментов включить Safe Mode, чтобы случайно не заблокировать доступ себе

Как узнать только по локалке или по интернету тоже есть возможность?

Посмотреть на конфигурацию. По умолчанию доступ из WAN закрыт, но некоторые пользователи любят удалять дефолтную конфигурацию.

Где?

Terminal, там

Код: Выделить всё

/export hide-sensitive

Код: Выделить всё

[admin@MikroTik] > /export hide-sensitive
# aug/24/2019 00:19:45 by RouterOS 6.45.3
# software id = XTEL-UZ27
#
# model = RouterBOARD 941-2nD
# serial number = 7DE608A34EEA
/interface bridge
add admin-mac=CC:2D:E0:02:A4:32 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    ssid=MikroTik-02A436 wireless-protocol=802.11
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=561137927
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik
add name=profile supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address=CE:2D:E0:02:A4:36 master-interface=wlan1 name=wlan2 \
    security-profile=profile ssid=FREE
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=drop chain=forward disabled=yes in-interface=wlan2
add action=drop chain=forward disabled=yes out-interface=wlan2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=77.88.8.7,77.88.8.3 \
    gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fa
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-st
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" conn
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-stat
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" i
    out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >

Спасибо, а без терминала можно как взглянуть?

Взглянуть на что именно?

Да, в input доступ закрыт не из LAN.

А где тут input?

/ip firewall filter chain=input прячется, удивительно, в IP -> Firewall -> Filter, цепочка input

И что сделать то нужно?

Это вы мне скажите, что сделать хотите. Я, вроде, на все вопросы выше ответил.

Я хочу чтобы с интернета не могли зайти на мой микротик. У меня за это какое правило отвечает?

Четвёртое

MikroTik.by

Безопасность в микротике

Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике

Re: Безопасность в микротике