- ldave: New Game Blitz - 2025
- sziku69: Fűzzük össze a szavakat :)
- ubyegon2: Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- Luck Dragon: Asszociációs játék. :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Szevam: Mennyire tipik Z-gen viselkedés? Tipizálható-e egyáltalán?
- Yutani: YRHA - Yutani Retró HAngkártyái: IBM mWave
- Flashback: Építsünk PC-t akciós alkatrészekből, lassan. upd: 05.28
- sziku69: Szólánc.
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
amargo
addikt
Válasz daninet-nek egy másik topicból:
LTE6-os? Ha nem, akkor pont elveszted a CA-t ezért is beeshet estére, amikor mindenki haza ér. Esetleg lhg? (vagy nézted már és ennyire nem jó a lefedettség) Nálam ként nagy nyereségű antenna van wAP-LTE6-ra rakva, igaz itt 1-1,5km belül van két torony is.
Nálam is mióta megjött az optika failover-nek van használva és bizony szükség van rá. -
lokiazarc
csendes újonc
Sziasztok ismét!
Előszőr is nagyon köszönöm a profi segítséget külön köszönöm bacus-nak a profi segítséget rugalmasságot és időt.
A problémám a következő próbálok napi backupot küldeni g-mail fiókra de nem akarja az igazat.
volt már aut.faild, és time out is
173.194.77.108 adress
586 port
tls yes
email cim
jelszó az e mailhez
Ezeket az adatokat ip cim stb neten találtam Esetleg valaki súgna mit csinálok megint rosszul?
köszönöm előre is -
Reggie0
félisten
válasz
Audience
#16484
üzenetére
Ha megnyitod az URL-t, akkor ezt tolti le:
/log info "Loading HU ipv4 address list"
/ip firewall address-list remove [/ip firewall address-list find list=HU]
/ip firewall address-list :do { add address=2.58.168.0/22 list=HU } on-error={} :do { add address=2.59.196.0/22 list=HU } on-error={} :do { add address=5.28.0.0/21 list=HU } on-error={} :do { add address=5.38.128.0/17 list=HU } on-error={} :do { add address=5.56.32.0/21 list=HU } on-error={} :do { add address=5.61.240.0/21 list=HU } on-error={} :do { add address=5.63.192.0/18 list=HU } on-error={} :do { add address=5.148.192.0/18 list=HU } on-error={} :do { add address=5.149.240.0/21 list=HU } on-error={} :do { add address=5.159.232.0/21 list=HU } on-error={}
...Ez egyertelmuen egy script, ami eppenseggel addresslistet tolt fel. De mi a garancia, hogy nem hekkelik meg vagy oket vagy a listagenerator es a routered kozott a kapcsolatot es injektalnak a scriptbe valamit aminek nem orulnel?
-
ekkold
Topikgazda
-
-
Reggie0
félisten
válasz
Zwodkassy
#16480
üzenetére
Nem a te scripted, hanem amit letolt http-vel az egy mikrotik script es azt futtatja le. Te most vakon abban bizol, hogy tenyleg csak firewall address list lesz. Raadasul mindezt titkositatlan csatornan keresztul, ugyhogy meg egy man in the middle tamadas is rohogve kivitelezheto.
-
válasz
Reggie0
#16466
üzenetére
Pár havonta lefuttatom
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/HU
delay 1234ms
/import file-name=HU
delay 1234ms
/ip firewall address-list remove [/ip firewall address-list find list=Hun-List]
delay 1234ms
/ip firewall address-list set [find list=HU] list=Hun-List -
Reggie0
félisten
CCR1009-en hasznalom. Talan 1%, ha maxra van terhelve a savszel. De nincs is sok talalat, aliexpressen, banggoodon meg nehany kormany-propaganda oldalon vannak orosz(yandexes es hasonlo) tracker oldalak hivatkovzva, de azok nelkul is mukodnek. Nyugati cegek orosz teruletrol ugysem uzemeltetnek es nem is vesznek igenybe szolgaltatast, igy az internetes jelentoseguk total nulla, csak a tamadas johet toluk, ertelmes dolog nemigazan.
-
-
bacus
őstag
válasz
Ricsi.M
#16469
üzenetére
"A kamera szervernek is van webes felülete, azért írtam, hogy nem lehet egy felületen a mail-el. "
Egy web szerveren több honlap is lehet, a web szerver dönt, hogy adott kérésre milyen választ ad. Egyfajta válasz az is, hogy tovább irányítja egy másik host-ra a kérést, azaz 1 db IP címen is lehet több eszközt üzemeltetni, nem akarom, hogy így működjön, csak ne az maradjon meg, hogy nem lehet, mert de.
-
Audience
aktív tag
válasz
Ricsi.M
#16469
üzenetére
Nem tennék WINS-et emiatt. A belső DNS-re vedd fel a belső IP-kkel a host-okat statikus elemkéntmés menni fog FQDN-nel is a távoli asztal.
Ha belül külön host-okon vannak a kamerarendszer és a levelezés akkor simán tudod a bejövő csomagokat a megfelelő host-ra irányítani. -
Ricsi.M
tag
Igen, igazad van pótlom a hiányosságokat.
Az új hálózatot csak azért írtam, hogy legyen storytime...
Szóval. A kamera szervernek is van webes felülete, azért írtam, hogy nem lehet egy felületen a mail-el.
4 IP cím egy fizikai interfészen kellene, hogy legyen. 1 WAN port és 1 LAN port van csak a mikrotikben, a wan az pppoe, szintén T.
OpenVPN-t a MikroTik csinálja, akkor ha csinálok egy WINS szervert belül, rá tudom irányítani, hogy a MikroTik-ben, hogy az OpenVPN WINS szervere legyen a 10.x.x.x? Nem akarok host fájlokat módosítani, azt akarom, hogy a userek minél kevesebbet vegyenek észre az egész műveletből.
-
Reggie0
félisten
válasz
TOZOLI72
#16463
üzenetére
En ezt a listageneratort hasznalom, mert intelligens es a kisebb tartomanyokat osszevonja egybe, ha lehet, igy kevesebb elembol fog allni a lista: https://mikrotikconfig.com/firewall/
Nekem az orosz-belarusz tiltolista kb. 10000 kulonallo tartomanybol all, ennyi eleme lesz a listanak.
A tuzfalban:
ip firewall filteradd chain=forward action=reject reject-with=icmp-net-prohibited dst-address-list=RussianIPBlocks log=no log-prefix=""add chain=input action=drop src-address-list=RussianIPBlocks log=no log-prefix=""add chain=output action=drop dst-address-list=RussianIPBlocks log=no log-prefix="" -
bacus
őstag
válasz
Ricsi.M
#16462
üzenetére
"Egy teljesen új hálózatot húztam fel"
ez mennyiben befolyásolja a feladatot? A régi hálózatok rozsdásabbak?" (nem is lehet a mail miatt)"
Miért ne lehetne? Csak a mail miatt kell reverse dns, egy ip címhez annyi nevet rendelsz amennyit akarsz. A web szerver majd szépen továbbítja a camera.xydomain.hu-ra érkező címeket..., amennyiben kell, mert a mail szerver nem ütközik, maximum a mailhez tartozó webes felület.Nem írtad, hogy a 4 ip cím, az egy fizikai interfészen van? A tűzfal szabályokban meg tudod adni a dst addresst is, nem csak a portot..
ha a dst addr 111.222.333.441 és dst port 443, akkor dst nat a belső webmail-re
ha a dst addr 111.222.333.442 és dst port 443 akkor dst nat a kamerás cuccra."Jelenleg csak IP-vel tudok nyitni mondjuk távoli asztalt, de szeretném, ha menne névvel is"
wins szervert kell beüzemelj, vagy a kliens gépek host fájljába beírod a belső ip címeket és neveket. (legyen fix ip egy gép belül) -
-
Ricsi.M
tag
Sziasztok!
MTCNA vizsgával rendelkezem, amit 3 évvel ezelőtt csináltam, de az élet úgy hozta, hogy más területen mozogtam eddig... most visszasodródtam a MikroTik-hez.
Biztos sok kérdésem lesz...Az első.
Egy teljesen új hálózatot húztam fel MikroTik, Ubiquiti, Dahua, HPE alapokon. Működik jelenleg minden, de szeretném kicsit szeparálni a hálózaton kimenő dolgokat.
A cégnek jelenleg van 4db fix public IP-je, amit a T biztosít.
Az első jelenleg az, hogy működik a levelezés a mail.xydomain.hu címen, ami rá van irányítva az elsődleges public IP-re, ami mondjuk a 111.222.333.441.
Egy másik címünk a camera.xydomain.hu, amit szeretném, hogy ne a 111.222.333.441 címen legyen (nem is lehet a mail miatt), hanem mondjuk a 111.222.333.442-n. Ez egy belső Milestone kamera szerver sok kamerával, amit kívülről is el kéne érni az adott domain néven.
Ha ezt sikerül beállítanom, akkor a többi 4 másik szolgáltatás, aminek más címet szeretnék az is menni fog.A második.
Eddig PPTP VPN-t használtak, de mondtam, hogy felejtsék el.
A Tik-ben megcsináltam az OpenVPN-t, ami működik is jelenleg a MikroTik saját dyndns-vel, ez maradhatna is igazából (gondolkodtam már azon is, hogy vpn.xydomain.hu névvel legyen mondjuk a 111.222.333.443 címen, de amíg jó a dynds-e a Tiknek addig nem létfontosság), mert működik hibátlanul, kivéve a belső hálózaton lévő eszközök névfeloldása távolról.
Jelenleg csak IP-vel tudok nyitni mondjuk távoli asztalt, de szeretném, ha menne névvel is, hogy ne kelljen minden workstation-nek static ip-t adni, ha távolról OpenVPN-el akarnak dolgozni...Ezekben kérem elsőként a segítséget és előre is köszönöm!
-
TOZOLI72
csendes tag
válasz
jerry311
#16457
üzenetére
Igazán szívesen, minél több réteggel védekezzünk...
Nem ettől várok megoldást, alatta egy elég jól belőtt tűzfal van és bitang erős jelszavak, ssl és csupa s-es kapcsolatok.
fyi, az utóbbi két nap blokkolásai:/ip firewall address-list print where list~"PORTSCAN"
Flags: D - DYNAMIC
Columns: LIST, ADDRESS, CREATION-TIME, TIMEOUT
# LIST ADDRESS CREATION-TIME TIMEOUT
0 D PORTSCAN 5.178.86.77 feb/11/2022 07:00:37 1w5d19h53m39s
1 D PORTSCAN 89.248.168.129 feb/12/2022 05:58:08 1w6d18h51m10s
2 D PORTSCAN 89.248.165.6 feb/12/2022 09:04:58 1w6d21h58m -
-
TOZOLI72
csendes tag
válasz
Reggie0
#16455
üzenetére
Egyik szolgáltatásomat megtalálták és elkezdték támadni, láttam a logjából célzottan csak azt a portot (még a detektálás és tiltás előtt). Kénytelen voltam átmenetileg bezárni a portot, átgondoltam kell-e az adott amit támadtak.
Így jutottam oda, hogy egyáltalán minek engedem a szkennelést, nekem nincs rá szükségem, másnak meg ne legyek látható. Félreértés ne essék a nyitott porton nehezen jöttek volna be, de minek engedjem a kísérletezést... Ha véletlenül feltesznek egy jó kis zsarolóvírust, akkor cseszhetem. -
-
TOZOLI72
csendes tag
Sziasztok, mostanában előszeretettel szkennelik a Magyar tartományokat, én Diginél vagyok és 4 címről érkezett az utóbbi hetekben portscan. Orosz, Kínai és Holland, nem biztos, hogy nem ugró gépet használ aki csinálja, így tartományi tiltás nem feltétlen elég. Az alábbi szabály nálam jól vizsgázott és blokkolta őket, használjátok egészséggel, ha megfelelőnek tartjátok:
/ip firewall filter add action=add-src-to-address-list address-list=PORTSCAN address-list-timeout=2w chain=input comment="Detect portscan" in-interface=pppoe-out protocol=tcp psd=21,3s,3,1
/ip firewall raw add action=drop chain=prerouting comment="Drop portscan addresses" log=yes log-prefix=PSD src-address-list=PORTSCAN
A fenti két szabály nálam legelső a vizsgálatok között
valamint - megoszlanak a válemények, de én az icmp echo request-et is tiltom a WAN felől, így pingelni sem tudnak:/ip firewall filter add action=drop chain=input comment="Drop echo request from WAN" icmp-options=8:0-255 in-interface=pppoe-out protocol=icmp
Nálam RB5009-es van és 7.1.2 -es ros, ezen jól működnek a szabályok.
Új hozzászólás Aktív témák
- Megmondták, hogy miért nem kapkodunk új okostelefon után
- Autós topik
- Tőzsde és gazdaság
- Horizon Forbidden West
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Formula-1
- Jókora gond volt az ASRock bizonyos alaplapjaival
- World of Tanks - MMO
- Bambu Lab 3D nyomtatók
- Vezeték nélküli fülhallgatók
- További aktív témák...
- Xiaomi Redmi A3 128GB, Kártyafüggetlen, 1 Év Garanciával
- BESZÁMÍTÁS! 380GB Intel Optane 905P NVMe SSD meghajtó garanciával hibátlan működéssel
- Telefon felvásárlás!! Xiaomi Redmi Note 13, Xiaomi Redmi Note 13 Pro, Xiaomi Redmi Note 13 Pro+
- Azonnal elérhető, raktáron lévő HPE Aruba switch-ek
- Lenovo ThinkStation P520 Workstation! W-2145, 64GB, 512 SSD /Quadro - Számla, garancia
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest