-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
TOZOLI72
csendes tag
Sziasztok, mostanában előszeretettel szkennelik a Magyar tartományokat, én Diginél vagyok és 4 címről érkezett az utóbbi hetekben portscan. Orosz, Kínai és Holland, nem biztos, hogy nem ugró gépet használ aki csinálja, így tartományi tiltás nem feltétlen elég. Az alábbi szabály nálam jól vizsgázott és blokkolta őket, használjátok egészséggel, ha megfelelőnek tartjátok:
/ip firewall filter add action=add-src-to-address-list address-list=PORTSCAN address-list-timeout=2w chain=input comment="Detect portscan" in-interface=pppoe-out protocol=tcp psd=21,3s,3,1
/ip firewall raw add action=drop chain=prerouting comment="Drop portscan addresses" log=yes log-prefix=PSD src-address-list=PORTSCAN
A fenti két szabály nálam legelső a vizsgálatok között
valamint - megoszlanak a válemények, de én az icmp echo request-et is tiltom a WAN felől, így pingelni sem tudnak:/ip firewall filter add action=drop chain=input comment="Drop echo request from WAN" icmp-options=8:0-255 in-interface=pppoe-out protocol=icmp
Nálam RB5009-es van és 7.1.2 -es ros, ezen jól működnek a szabályok.[ Szerkesztve ]
-
TOZOLI72
csendes tag
válasz Reggie0 #16455 üzenetére
Egyik szolgáltatásomat megtalálták és elkezdték támadni, láttam a logjából célzottan csak azt a portot (még a detektálás és tiltás előtt). Kénytelen voltam átmenetileg bezárni a portot, átgondoltam kell-e az adott amit támadtak.
Így jutottam oda, hogy egyáltalán minek engedem a szkennelést, nekem nincs rá szükségem, másnak meg ne legyek látható. Félreértés ne essék a nyitott porton nehezen jöttek volna be, de minek engedjem a kísérletezést... Ha véletlenül feltesznek egy jó kis zsarolóvírust, akkor cseszhetem.[ Szerkesztve ]
-
-
TOZOLI72
csendes tag
válasz jerry311 #16457 üzenetére
Igazán szívesen, minél több réteggel védekezzünk...
Nem ettől várok megoldást, alatta egy elég jól belőtt tűzfal van és bitang erős jelszavak, ssl és csupa s-es kapcsolatok.
fyi, az utóbbi két nap blokkolásai:/ip firewall address-list print where list~"PORTSCAN"
Flags: D - DYNAMIC
Columns: LIST, ADDRESS, CREATION-TIME, TIMEOUT
# LIST ADDRESS CREATION-TIME TIMEOUT
0 D PORTSCAN 5.178.86.77 feb/11/2022 07:00:37 1w5d19h53m39s
1 D PORTSCAN 89.248.168.129 feb/12/2022 05:58:08 1w6d18h51m10s
2 D PORTSCAN 89.248.165.6 feb/12/2022 09:04:58 1w6d21h58m -
Reggie0
félisten
válasz Statikus #16460 üzenetére
Biztonsagi cegek, virusirto fejlesztok, elemzok, kutatok, egyetemek.
Ez a tartomany konkretan hozzajuk tartozik: https://www.recyber.net/
[ Szerkesztve ]
-
Ricsi.M
tag
Sziasztok!
MTCNA vizsgával rendelkezem, amit 3 évvel ezelőtt csináltam, de az élet úgy hozta, hogy más területen mozogtam eddig... most visszasodródtam a MikroTik-hez.
Biztos sok kérdésem lesz...Az első.
Egy teljesen új hálózatot húztam fel MikroTik, Ubiquiti, Dahua, HPE alapokon. Működik jelenleg minden, de szeretném kicsit szeparálni a hálózaton kimenő dolgokat.
A cégnek jelenleg van 4db fix public IP-je, amit a T biztosít.
Az első jelenleg az, hogy működik a levelezés a mail.xydomain.hu címen, ami rá van irányítva az elsődleges public IP-re, ami mondjuk a 111.222.333.441.
Egy másik címünk a camera.xydomain.hu, amit szeretném, hogy ne a 111.222.333.441 címen legyen (nem is lehet a mail miatt), hanem mondjuk a 111.222.333.442-n. Ez egy belső Milestone kamera szerver sok kamerával, amit kívülről is el kéne érni az adott domain néven.
Ha ezt sikerül beállítanom, akkor a többi 4 másik szolgáltatás, aminek más címet szeretnék az is menni fog.A második.
Eddig PPTP VPN-t használtak, de mondtam, hogy felejtsék el.
A Tik-ben megcsináltam az OpenVPN-t, ami működik is jelenleg a MikroTik saját dyndns-vel, ez maradhatna is igazából (gondolkodtam már azon is, hogy vpn.xydomain.hu névvel legyen mondjuk a 111.222.333.443 címen, de amíg jó a dynds-e a Tiknek addig nem létfontosság), mert működik hibátlanul, kivéve a belső hálózaton lévő eszközök névfeloldása távolról.
Jelenleg csak IP-vel tudok nyitni mondjuk távoli asztalt, de szeretném, ha menne névvel is, hogy ne kelljen minden workstation-nek static ip-t adni, ha távolról OpenVPN-el akarnak dolgozni...Ezekben kérem elsőként a segítséget és előre is köszönöm!
MR Informatik - IT üzemeltetés, rendszergazda, szerviz, weboldal készítés - www.mrinformatik.hu
-
bacus
őstag
válasz TOZOLI72 #16463 üzenetére
Nem kell script. megnézed mi a tartomány amit tiltani akarsz, pl ez dél afrika 41.0.0.0/8
Csinálsz egy listát, legyen a neve Blokkolt, majd egy tűzfalszabályt az elejére, ha a forrás cím ebben az address listben van, akkor drop.Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
bacus
őstag
válasz Ricsi.M #16462 üzenetére
"Egy teljesen új hálózatot húztam fel"
ez mennyiben befolyásolja a feladatot? A régi hálózatok rozsdásabbak?" (nem is lehet a mail miatt)"
Miért ne lehetne? Csak a mail miatt kell reverse dns, egy ip címhez annyi nevet rendelsz amennyit akarsz. A web szerver majd szépen továbbítja a camera.xydomain.hu-ra érkező címeket..., amennyiben kell, mert a mail szerver nem ütközik, maximum a mailhez tartozó webes felület.Nem írtad, hogy a 4 ip cím, az egy fizikai interfészen van? A tűzfal szabályokban meg tudod adni a dst addresst is, nem csak a portot..
ha a dst addr 111.222.333.441 és dst port 443, akkor dst nat a belső webmail-re
ha a dst addr 111.222.333.442 és dst port 443 akkor dst nat a kamerás cuccra."Jelenleg csak IP-vel tudok nyitni mondjuk távoli asztalt, de szeretném, ha menne névvel is"
wins szervert kell beüzemelj, vagy a kliens gépek host fájljába beírod a belső ip címeket és neveket. (legyen fix ip egy gép belül)[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Reggie0
félisten
válasz TOZOLI72 #16463 üzenetére
En ezt a listageneratort hasznalom, mert intelligens es a kisebb tartomanyokat osszevonja egybe, ha lehet, igy kevesebb elembol fog allni a lista: https://mikrotikconfig.com/firewall/
Nekem az orosz-belarusz tiltolista kb. 10000 kulonallo tartomanybol all, ennyi eleme lesz a listanak.
A tuzfalban:
ip firewall filter
add chain=forward action=reject reject-with=icmp-net-prohibited dst-address-list=RussianIPBlocks log=no log-prefix=""
add chain=input action=drop src-address-list=RussianIPBlocks log=no log-prefix=""
add chain=output action=drop dst-address-list=RussianIPBlocks log=no log-prefix=""
-
Ricsi.M
tag
Igen, igazad van pótlom a hiányosságokat.
Az új hálózatot csak azért írtam, hogy legyen storytime...
Szóval. A kamera szervernek is van webes felülete, azért írtam, hogy nem lehet egy felületen a mail-el.
4 IP cím egy fizikai interfészen kellene, hogy legyen. 1 WAN port és 1 LAN port van csak a mikrotikben, a wan az pppoe, szintén T.
OpenVPN-t a MikroTik csinálja, akkor ha csinálok egy WINS szervert belül, rá tudom irányítani, hogy a MikroTik-ben, hogy az OpenVPN WINS szervere legyen a 10.x.x.x? Nem akarok host fájlokat módosítani, azt akarom, hogy a userek minél kevesebbet vegyenek észre az egész műveletből.
MR Informatik - IT üzemeltetés, rendszergazda, szerviz, weboldal készítés - www.mrinformatik.hu
-
Audience
aktív tag
válasz Ricsi.M #16469 üzenetére
Nem tennék WINS-et emiatt. A belső DNS-re vedd fel a belső IP-kkel a host-okat statikus elemkéntmés menni fog FQDN-nel is a távoli asztal.
Ha belül külön host-okon vannak a kamerarendszer és a levelezés akkor simán tudod a bejövő csomagokat a megfelelő host-ra irányítani. -
bacus
őstag
válasz Ricsi.M #16469 üzenetére
"A kamera szervernek is van webes felülete, azért írtam, hogy nem lehet egy felületen a mail-el. "
Egy web szerveren több honlap is lehet, a web szerver dönt, hogy adott kérésre milyen választ ad. Egyfajta válasz az is, hogy tovább irányítja egy másik host-ra a kérést, azaz 1 db IP címen is lehet több eszközt üzemeltetni, nem akarom, hogy így működjön, csak ne az maradjon meg, hogy nem lehet, mert de.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Reggie0
félisten
CCR1009-en hasznalom. Talan 1%, ha maxra van terhelve a savszel. De nincs is sok talalat, aliexpressen, banggoodon meg nehany kormany-propaganda oldalon vannak orosz(yandexes es hasonlo) tracker oldalak hivatkovzva, de azok nelkul is mukodnek. Nyugati cegek orosz teruletrol ugysem uzemeltetnek es nem is vesznek igenybe szolgaltatast, igy az internetes jelentoseguk total nulla, csak a tamadas johet toluk, ertelmes dolog nemigazan.
[ Szerkesztve ]
-
senior tag
válasz Reggie0 #16466 üzenetére
Pár havonta lefuttatom
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/HU
delay 1234ms
/import file-name=HU
delay 1234ms
/ip firewall address-list remove [/ip firewall address-list find list=Hun-List]
delay 1234ms
/ip firewall address-list set [find list=HU] list=Hun-List -
Reggie0
félisten
válasz Zwodkassy #16480 üzenetére
Nem a te scripted, hanem amit letolt http-vel az egy mikrotik script es azt futtatja le. Te most vakon abban bizol, hogy tenyleg csak firewall address list lesz. Raadasul mindezt titkositatlan csatornan keresztul, ugyhogy meg egy man in the middle tamadas is rohogve kivitelezheto.
[ Szerkesztve ]
-
ekkold
Topikgazda
-
Reggie0
félisten
válasz Audience #16484 üzenetére
Ha megnyitod az URL-t, akkor ezt tolti le:
/log info "Loading HU ipv4 address list"
/ip firewall address-list remove [/ip firewall address-list find list=HU]
/ip firewall address-list :do { add address=2.58.168.0/22 list=HU } on-error={} :do { add address=2.59.196.0/22 list=HU } on-error={} :do { add address=5.28.0.0/21 list=HU } on-error={} :do { add address=5.38.128.0/17 list=HU } on-error={} :do { add address=5.56.32.0/21 list=HU } on-error={} :do { add address=5.61.240.0/21 list=HU } on-error={} :do { add address=5.63.192.0/18 list=HU } on-error={} :do { add address=5.148.192.0/18 list=HU } on-error={} :do { add address=5.149.240.0/21 list=HU } on-error={} :do { add address=5.159.232.0/21 list=HU } on-error={}
...Ez egyertelmuen egy script, ami eppenseggel addresslistet tolt fel. De mi a garancia, hogy nem hekkelik meg vagy oket vagy a listagenerator es a routered kozott a kapcsolatot es injektalnak a scriptbe valamit aminek nem orulnel?
[ Szerkesztve ]
-
Statikus
senior tag
Mikrotik megvizsgálta és válaszoltak, hogy sajnos náluk van a hiba az OS-ben, de javítják.
(előzmény: az SN és a cloud DNS nem mindig azonos, random időközönként változik a DNS az SN és egy másik ismeretlen karaktersor között)
-
lokiazarc
csendes újonc
Sziasztok ismét!
Előszőr is nagyon köszönöm a profi segítséget külön köszönöm bacus-nak a profi segítséget rugalmasságot és időt.
A problémám a következő próbálok napi backupot küldeni g-mail fiókra de nem akarja az igazat.
volt már aut.faild, és time out is
173.194.77.108 adress
586 port
tls yes
email cim
jelszó az e mailhez
Ezeket az adatokat ip cim stb neten találtam Esetleg valaki súgna mit csinálok megint rosszul?
köszönöm előre is -
Reggie0
félisten
Erdekes, egyre tobb ccr1009 van apron. Esetleg tortent valami vagy csak a ccr2000 szeria megjelenese miatt lehet?
-
amargo
addikt
Válasz daninet-nek egy másik topicból:
LTE6-os? Ha nem, akkor pont elveszted a CA-t ezért is beeshet estére, amikor mindenki haza ér. Esetleg lhg? (vagy nézted már és ennyire nem jó a lefedettség) Nálam ként nagy nyereségű antenna van wAP-LTE6-ra rakva, igaz itt 1-1,5km belül van két torony is.
Nálam is mióta megjött az optika failover-nek van használva és bizony szükség van rá.[ Szerkesztve ]
“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”
Új hozzászólás Aktív témák
- WoW avagy World of Warcraft -=MMORPG=-
- Házimozi haladó szinten
- Milyen TV-t vegyek?
- Honda topik
- No Voice in the Galaxy
- gban: Ingyen kellene, de tegnapra
- KERÉKPÁR / BRINGA / ALKATRÉSZ beárazás
- Call of Duty: Modern Warfare III (2023)
- VR topik (Oculus Rift, stb.)
- Poco X6 Pro - ötös alá
- További aktív témák...