- sziku69: Fűzzük össze a szavakat :)
- Luck Dragon: Asszociációs játék. :)
- LordAthis: AI Kérdés érkezett - 3600 soros Spagetti kód refaktorálása és budget
- Elektromos rásegítésű kerékpárok
- eBay-es kütyük kis pénzért
- Tutti Georg: A Microsoft 2025. augusztusi biztonsági frissítései hibásak
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- GoodSpeed: Bye PET Palack, hello SodaStream
- sziku69: Szólánc.
- sh4d0w: Netflix? Ugyan, VW előfizetés!
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
quby
őstag
Sziastok!
Hogyan tudom meg hogy a router melyik portján melyik MAC csücsül? Az arp táblában csak anyit látok hogy melyik bridge-hez tartozik a MAC de azt nem tudom hogy pontosan melyik porthoz csatlakozik....
Az interfaces-ben meg csak a saját MAC-jét látom az interface-nek.
Mi erre a megoldsás?? -
#96292352
törölt tag
-
#96292352
törölt tag
Nálam ez a script csinálja a DDNS-t:
:local noipuser "username"
:local noippass "pass"
:local noiphost "******.no-ip.org"
:local inetinterface "pppoe_Digi":global previousIP
:if ([/interface get $inetinterface value-name=running]) do={
:local currentIP [/ip address get [find interface="$inetinterface" disabled=no] address]
:for i from=( [:len $currentIP] - 1) to=0 do={
:if ( [:pick $currentIP $i] = "/") do={
:set currentIP [:pick $currentIP 0 $i]
}
}:if ($currentIP != $previousIP) do={
:log info "No-IP: Current IP $currentIP is not equal to previous IP, update needed"
:set previousIP $currentIP:local url "http://dynupdate.no-ip.com/nic/update\3Fmyip=$currentIP"
:local noiphostarray
:set noiphostarray [:toarray $noiphost]
:foreach host in=$noiphostarray do={
:log info "No-IP: Sending update for $host"
/tool fetch url=($url . "&hostname=$host") user=$noipuser password=$noippass mode=http dst-path=("no-ip_ddns_update-" . $host . ".txt")
:log info "No-IP: Host $host updated on No-IP with IP $currentIP"
}
} else={
:log info "No-IP: Previous IP $previousIP is equal to current IP, no update needed"
}
} else={
:log info "No-IP: $inetinterface is not currently running, so therefore will not update."
} -
Proci85
senior tag
Ha csak az IP címedet szeretnéd megtudni, akkor az nem járható út, hogy bekapcsolod a belső dynDNS szolgáltatást (cloud), kapsz egy $azonosítót.domain.com címet, ami mindig az IP címedre mutat? Ezt a domaint időnként linuxból lekérdezed és SQL-be rakod.
B verzió, kicsit overkill: A mikrotik FTP-n mindig feltölt egy fájlt egy külső FTP szerverre. A mikrotiken nem jár írással. Szerver oldalon ismét megvan a végponti IP címed.
-
dgyula
csendes tag
-
#1774
vjozsef
senior tag
Freestyle79
#1772
vjozsef
senior tag
válasz
Freestyle79
#1772
üzenetére
A MAC address-t nem veletlenszeruen generaljuk/osztogatjuk.
Az anno ki lett osztva, es nem kellene kavarni vele. Azt tudom elkepzelni, hogy megveszel kilonyi regi halokartyat, es beirogatod szepen egy listaba, majd szkript kivalaszt egyet. Ha ugyes vagy es kitarto, akkor evekre elore lesz MAC cimed.
-
bacus
őstag
Sajnos tudomásul kell venni, hogy ez egy router, vannak korlátai.
Én is akartam egy scriptet, ami 4 óránként lefőz egy kávét, de semmit nem találtam erre vonatkozóan.
pedig a "/tools make coffee person=4 immediate=true with milk interval=4h between 5 and 17" parancsot próbáltam futtatni.ugyanez mailben a titkárnőnek mind win, mind linux alul remekül működik
-
#1772
Freestyle79
tag
Freestyle79
tag
Sziasztok.
Nem fő csapásirányom a hálózat építés. Én teherautóban használok egy SXT Lite2 AP klienst. Nagyon jól működik, egy mini routerrel osztom tovább a fülkébe az ingyenes Hotspot-ról a netet.
Csak vannak időkorlátos hotspot-ok. Lehet egyesek szerint nem túl szép, de MAC ADDRESS cserével kijátszom ezt.
Addig rendben van, hogy terminál ablakból ezzel a paranccsal átírom: /interface wireless set wlan1 mac-address=Meg lehetne ezt oldani, hogy magától, véletlenszerű MAC ADDRES-t állítson be?
Schedule lesz az én barátom, úgy érzem. Csak a mikéntjével nem vagyok tisztában. -
dgyula
csendes tag
-
dgyula
csendes tag
válasz
bambano
#1765
üzenetére
Ez ha jól értem letölti a routerre az oldalt, amit viszont felesleges és nem szeretném. Telnetre nincs valami normális példa valahol? Mert linux alá van egy csomó, de mikrotikre csak olyat találtam, aminél azt mutatja hogyan tudok távoli mikrotiket újra indítani pc-ről, vagy ami azt írja le hogyan tudok a konzolról kapcsolatot indítani egy távoli gépre a routerről.
-
dgyula
csendes tag
Sziasztok!
Kellene nekem egy scriptet telneten lefuttatni. Ez egy html oldalt hívna meg ami így megtudja az IP címem és egy adatbázisban letárolja.
Ez kellene hogy lefusson:
system telnet www.valami.hu 80
GET /ipchange/index.php?user=nev&pass=jelszo HTTP/1.1
Host: www.valami.hu
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)Azonban nem fut le a jelek szerint. Win-ről cmd-ben futtatva jó. Hogy kell átírni hogy mikrotik scriptként lefusson a routerben?
-
bambano
titán
-
Ablakos
őstag
válasz
bambano
#1761
üzenetére
Igen, ezt a cisco csatit is ajánlották. Be fogom szerezni.
Közben egy bitre hasonló esetet olvastam mikro. forumon. Az a megoldás, hogy nem kell feladni a reset nyomkodást és akkor hajlandó netinstallba kapcsolni. Naivan először betartottam az instrukciókat. No ez az, amiből nem tudom levonni a megoldást, mert most már szinte össze-vissza nyomkodtam.
Felbootolt.
-
-
-
Ablakos
őstag
CRS125 -ön egy teljesen standard ROS installt csináltam. (winboxból) Ezután boot loopba került a router. Próbáltam netistall leírás alapján felprogramozni, de fel sem ismeri a netistall program. A dedikált console porthoz nincs csatlakozóm. Érdemes venni csatlakozót (esetleg azon lehet még kapcsolat ?), vagy szervíz?
-
Kiskutyák
aktív tag
-
#1750
Proci85
senior tag
nyilasmisi
#1747
Proci85
senior tag
válasz
nyilasmisi
#1747
üzenetére
DROP-ra tegyél logot és szépen látszik majd, hogy milyen csomag illeszkedik rá. Ez alapján pedig javítsd a felette lévő szabályaidat, hogy a DROP-ig ne jusson el.
-
#1744
poli27
veterán
nyilasmisi
#1742
poli27
veterán
válasz
nyilasmisi
#1742
üzenetére
Sztem ez eleg hulyeseg igy... 1.1 ertelmesebb forouternek es 1.100 monjuk az apnek.
-
#1743
MtHq
tag
nyilasmisi
#1742
MtHq
tag
válasz
nyilasmisi
#1742
üzenetére
Próbáld meg a forward-internalba tenni
-
#1742
nyilasmisi
tag
MtHq
#1741
nyilasmisi
tag
A fő router 172.16.1.100
A mögötte lévő kis mAP az 172.16.1.1Az érdekesség, hogy beraktam ezt a két sort amit mondtál, de nem illeszkedik, mivel továbbra is a legutolsó:
add action=drop chain=forward-internal csomagszámláló számlál be!!
A két dstnat szabály is számolódik a NAT fül alatt, de valamiért mégis dobódik a csomag!
-
#1741
MtHq
tag
nyilasmisi
#1739
MtHq
tag
válasz
nyilasmisi
#1739
üzenetére
Nem vagyok nagy tűzfal guru, de szerintem a tűzfalban, a forward chainben engedélyezni kell a kapcsolatot egy accept szabállyal. A NAT szabályod jó, de nem jelöl meg IN interfacet, én megadnám neki a Digi PPPOE interfacet. Pl:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1-Digi
add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=8292 protocol=tcp to-addresses=172.16.1.1 to-ports=8291
add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=22000 protocol=tcp to-addresses=172.16.1.1 to-ports=80Normál esetben azt mondanám, hogy ne in-interfacet adj meg, hanem dst-address-t (a WAN ip címed), de digi esetében az kb 1-2 naponta változik, így érdemesebb így megoldani, ha nem akarsz scriptelni.
A tűzfaladba beraktam két sort, próbáld meg így:
/ip firewall filter
add action=drop chain=input connection-state=invalid
add chain=input connection-state=established,related
add action=jump chain=input in-interface=bridge-local jump-target=input-internal
add action=jump chain=input in-interface=pppoe-out1-Digi jump-target=input-net
add action=drop chain=input
add chain=input-net dst-port=80,8291,2000 protocol=tcp
add action=drop chain=input-net src-address-list=blacklist
add chain=input-net protocol=icmp
add action=add-src-to-address-list address-list=blacklist-ftp address-list-timeout=3d chain=input-net dst-port=21 protocol=tcp
add action=add-src-to-address-list address-list=blacklist-ssh address-list-timeout=3d chain=input-net dst-port=22 protocol=tcp
add action=add-src-to-address-list address-list=blacklist-telnet address-list-timeout=3d chain=input-net dst-port=23 protocol=tcp
add action=drop chain=input-net
add chain=input-internal
add action=drop chain=forward connection-state=invalid
add chain=forward connection-state=established,related
add chain=forward dst-address=172.16.1.1 dst-port=8292 protocol=tcp
add chain=forward dst-address=172.16.1.1 dst-port=22000 protocol=tcp
add action=jump chain=forward jump-target=forward-net out-interface=pppoe-out1-Digi
add action=jump chain=forward jump-target=forward-internal out-interface=bridge-local
add action=drop chain=forward
add chain=forward-net in-interface=bridge-local src-address=172.16.1.0/24
add action=drop chain=forward-net
add action=drop chain=forward-internalMost nézegetem utólag, a Mikrotik fő routered IP címe 172.16.1.1? Mert akkor se a tűzfal se a NAT szabály nem jó! A dst addresshez a hAP címét írd.
Tűzfal:
add chain=forward dst-address=172.16.1.<hap> dst-port=8292 protocol=tcp
add chain=forward dst-address=172.16.1.<hap> dst-port=22000 protocol=tcpNat:
add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=8292 protocol=tcp to-addresses=172.16.1.<hap> to-ports=8291
add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=22000 protocol=tcp to-addresses=172.16.1.<hap> to-ports=80 -
#1740
Proci85
senior tag
nyilasmisi
#1731
Proci85
senior tag
válasz
nyilasmisi
#1731
üzenetére
Nincs jelentősége, hogy cloud fut vagy nem. Neten van a cucc, random IP-ket próbálgatnak.
Told el a tipikus portokat és már is a kutya sem fog bepróbálkozni.
Még jobb, ha VPN mögé teszed az egész cuccot.Nem kell annyira rápörögni a próbálkozásokra. Aki pl. linux szervert üzemeltet (és van annyi esze, hogy nem tolja el a tipikus 22-es porton futó SSH-t). az naponta több száz ilyen bejegyzést talál a logban.
Amit még tehet az ember: admin usert csak LAN-ról engedélyezi és további usereket vesz fel, akik adott tartományból vagy ha szükséges, bármilyen címről becsatlakozhatnak. Ettől kezdve az usernév is egyfajta védelem, mivel úgy is default nevekkel próbálkoznak. admin, operator,stb.
-
#1739
nyilasmisi
tag
nyilasmisi
tag
Lenne egy olyan kérdésem hogy van az alábbi tűzfalszabályal működik egy router:
/ip firewall filter
add action=drop chain=input connection-state=invalid
add chain=input connection-state=established,related
add action=jump chain=input in-interface=bridge-local jump-target=input-internal
add action=jump chain=input in-interface=pppoe-out1-Digi jump-target=input-net
add action=drop chain=input
add chain=input-net dst-port=80,8291,2000 protocol=tcp
add action=drop chain=input-net src-address-list=blacklist
add chain=input-net protocol=icmp
add action=add-src-to-address-list address-list=blacklist-ftp address-list-timeout=3d chain=input-net dst-port=21 protocol=tcp
add action=add-src-to-address-list address-list=blacklist-ssh address-list-timeout=3d chain=input-net dst-port=22 protocol=tcp
add action=add-src-to-address-list address-list=blacklist-telnet address-list-timeout=3d chain=input-net dst-port=23 protocol=tcp
add action=drop chain=input-net
add chain=input-internal
add action=drop chain=forward connection-state=invalid
add chain=forward connection-state=established,related
add action=jump chain=forward jump-target=forward-net out-interface=pppoe-out1-Digi
add action=jump chain=forward jump-target=forward-internal out-interface=bridge-local
add action=drop chain=forward
add chain=forward-net in-interface=bridge-local src-address=172.16.1.0/24
add action=drop chain=forward-net
add action=drop chain=forward-internal/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1-Digi
add action=dst-nat chain=dstnat dst-port=8292 protocol=tcp to-addresses=172.16.1.1 to-ports=8291
add action=dst-nat chain=dstnat dst-port=22000 protocol=tcp to-addresses=172.16.1.1 to-ports=80E mögött bridge modban működik egy mAP lite amely egy távoli ponton a lakásban wifi-t csinál.
Milyen szabályt kellene ide beilleszteni, hogy a WAN felöl átjussak rajta, és elérjem a winbox (8291, a net felöl 8292), és a webif (80, a net felöl 22000) portját a kis mAP-nak?
A NAT fül alatt felvettem 1-1 dstnat -ot de a logban csak droppokat forward-internal chain-ben!
Tud valaki ebben segíteni? Egyelőre leakadtam sajnos
-
#1738
Adamo_sx
aktív tag
nyilasmisi
#1731
Adamo_sx
aktív tag
válasz
nyilasmisi
#1731
üzenetére
Érdekes, eddig sosem láttam ezt az IP címet a logban (persze nem nézegetem folyton), és én is használom az MT cloud ddns-ét. Viszont most kíváncsiságból az IP/Firewall/Connections-ben megnéztem, hogy van-e ilyen. (Filter src addr)
Ezután a mindjárt megjelent a logban:
-
brickm
őstag
válasz
gazrobur
#1736
üzenetére
a dhcp szervernél meg tudod adni mennyi idő alatt dobja el a hálózati címhez rendelt IP címet...
Ha ezt az időt lentebb veszed, akkor fogsz kapni másik IP-t.Ha ez a modem külső IP-jére is vonatkozó kérdés, ugyan ez a helyzet, csak a szolgáltató dhcp szerverén kell az időt állítani...kellene.
-
gazrobur
csendes tag
Sziasztok,
Hogy lehet az, hogy ha kikapcsolom a modemet, és újra be akkor nem kapok másik ip-címet. Megjegyzem, hogy dinamikus ipm van.
Persze ha kábellel rámegyek akkor ad új ip-t., Még az is gond, hogy kábelesen ipconfig/release, renew -ra se ad mást. Mitől lehet?
Köszönöm a segítségeteket.
-
#1734
unknownerror
tag
unknownerror
tag
Sziasztok!
Költöztetni szeretnék egy RB2011UiAS-IN routert, a cél egy 1100AHx2. Van valakinek valamilyen tapasztalata hasonló helyzettel? Működhet itt az export-import? Gondolom nem, mivel teljesen más a hardver. De mégis megkérdezem, hátha volt már valaki hasonló helyzetben és van valami trükk rá.
A kis 2011-es fog össze pár telephelyet ipsec-en, egy csomó szabállyal, nem lenne szerencsés, ha kézzel kellene átmásolni mindent, de ha nincs más, vagy ??opás, akkor nincs mese, neki kell ülni.
-
#1733
bacus
őstag
nyilasmisi
#1731
bacus
őstag
válasz
nyilasmisi
#1731
üzenetére
-
#1732
#96292352
törölt tag
nyilasmisi
#1731
#96292352
törölt tag
válasz
nyilasmisi
#1731
üzenetére
Jó tudni ezt is!
Én még csak szemezgettem vele.. de így hagyom egyelőre -
#1731
nyilasmisi
tag
nyilasmisi
tag
Ismeri valaki ezt a host-ot: 62.210.162.182
Bármelyik mikrotikben amelyek kint lógnak a neten (indítottam pár darabott az elmúlt időben), és aktiváltam a IP/Cloud alatt a DDNS update-et hogy távolról elérhető legyen számomra, 1 napon belül megjelenik, és a 80-as port-on belépési kisérletek zajlanak!
Semmilyen más DDNS szolgáltatás nem fut ami alapján felderíthetnék a host-omat, csak a sn.mynetname.net.
Elképzelhető szerintetek hogy ez egy backdoor a mikrotikben?Ja és ami még durva hogy 22 óra alatt az alábbi blacklisteket gyüjtötte:
-
brickm
őstag
Az miért van, hogy ha bekapcsolom a vpn-t(rb750-en) a quick set-ben, minden tűzfal szabályomat eldobja, tiltja a pppoe kliensemet, ezáltal a net is elmegy...?
Egy hónappal ezelőtt még ezt nem csinálta, csak hozzáadott 3-4 rule-t, és minden ment tovább. Működött is a vpn.Sőt, az 1100ahx2-n most is be van kapcsolva, ott se hajítja el a pppoe klienst.
-
TonTomika
aktív tag
Sziasztok!
Elköltöztem egy panel lakásba és kéne egy új router.
Van már egy RB2011-es Mikrotikem, amit nagyon szeretek, de ez maradt otthon.Az új helyre egyelőre nem tudom, hogy mit vegyek, 500-as FTTB digi lan van, rengeteg 2.4ghz-s eszközzel, elég telítettek a csatornák, szóval kellene az erős wifi, de jó lenne ha tdná az 5ghz-t is.
Amire még szükségem van, az a beépített VPN, illerve a POE, mert tervezek kitenni egy ip kamerát is, amit lanon akarok megtáplálni, mert a roter szünetmentesen lesz. A hálózaton ül egy torrent szerver, és külön egy plex szerver is, amiről 2-3 ember filmezik távolról.
Egyelőre nem tudom még, hogy mit vegyek, Mikrotikből a hAP ac-t néztem (RB962UiGS-5HacT2HnT), gondolkodom a Synology routerén illetve az Asus RT68-at is nézegettem.
Ha jól tudom a miktoriknek csak a pppoe-n van ak problemai a natolassal, de panelben azt hiszem nincs pppoe. Ki tudja hajtani ezt a sebesseget? Vagy valasszak valami mas eszkozt? TP-Linket nem szeretnék.
Köszönöm a válaszokat előre is, jó pálinkázást és egyetek sok sonkát!
-
MtHq
tag
válasz
djmorphy
#1726
üzenetére
Ping menüpontban beírod az IP címet, a LAN (vagy belső) interfészt megadod amin lóg a NAS (vagy más eszköz) ARP Ping-et kipipálod, és ezzel tudod is tesztelni, hogy válaszol-e. Persze ehhez közvetlen az alhálózaton kell legyen az eszköz, routeolás vagy NATolás mögött lévőt nem tudsz így ellenőrözni, csak sima pinggel (ha nincs tiltva az ICMP/ping a céleszközön)
-
MtHq
tag
válasz
djmorphy
#1724
üzenetére
Mert azóta nem kért újra IP címet, nem járt le a lease, vagy nem ért a lejárat közelébe így a NAS nem újította meg. A NAS-on egy network restart vagy egy komplett restart megoldja. De ha működik ez nem gond, várd meg amíg megújítja a lease-t, szerintem nem érdemes foglalkozni vele.
-
djmorphy
tag
Sziasztok!
Kellene egy kis segítség, mert nem értem:
Kábelcsatornák lettek kiépítve az irodába ezért a routerből minden kábel ki lett húzva majd visszadugtam mikor végeztem.Elvileg ugyan oda ahova eddig is be voltak dugva.
Minden működik is de a NAS-t nem mutatja az IP/DHCP/Leases-ben. Statusa waiting.
Holott úgy néz ki hogy, tökéletesen működik.
Ez miért van illetve, hogyan tudom elérni hogy a status Bound legyen újra?
Router:Miktorik RB2011 UiAS-2HnD
NAS: Synology DS215JKöszönöm!
-
haxy27
aktív tag
Ennél azért sokkal érdekesebb a dolog. Valszeg geológiai oka van a dolognak, már nem nagyon emlékszem a pontos okára de köze lehet a talaj mélyén lévő nagy vas tartalomnak és víz készletnek is.
Még régebben a tv csatornékon is interferencia volt, amig nem tértek át a digitálisra sosem volt tiszta kép. -
haxy27
aktív tag
válasz
vjozsef
#1716
üzenetére
Ebből az irányból 7 éve megy a nettem, egyébként meg olyan 15 éve én oldom meg magamnak mert egyik szolgáltató sem teszi olyan helyre az antennáját hogy nekem is jó legyen.
Ami a cserét illeti azért kellene, mert kb fél évente vehetek egy új routert ugyan is folyton lehal a wifi rajta.
plusz sok már a 2,4GHz és nem tudok egy szabad csatornát sem már, így elég nagy a zavarás. Ami jól bírja az az edimaxom ő már több mint 15 éves.Persze 5GHz -vel nem tudom milyen lesz, azt tudom 2,4 -en 100mw -tal megy nyáron is és esőben is.
Viszont most teszteltem, és tökéletesen müködik a dolog 2 routerbordal. bridge mód és a másik station bridgemód. Így nem kell nat sem hozzá. A wlant és a lant simán egy hiddal összekötöd aztán mehet a dolog..
-
haxy27
aktív tag
válasz
vjozsef
#1706
üzenetére
nem igazán a rálátással van gond mert távcsővel látom az antennát, bár sok fa van ami be lóg a zónába. Ettől függetlenül a sok 2,4 GHz routerek okozzák a problémát ezért kell a nagyobb teljesítmény. És az azért tesztelve volt hogy a 100mW már elegendő, de 5 GHz -re akarok át állni, ott van még szabad sáv.
-
bacus
őstag
válasz
bambano
#1713
üzenetére
Nincs előfizetőm. De kint van kolléga, belép az ftpre, és innen tudom, hogy mi az ügyfél ip cime. Adatot nem kezelem, Nincs összekötve, leírva, hogy xxx kft ip cime ez.
Egyéb iránt olyan helyről volt szó, ahol két szerver van! Ez mi lehet, ha nem kis iroda? Talán még nem általános mindenkinél, hogy otthon két egymástól független szerver üzemeltessen, ami egymást nem is láthatja.
Te itt javasoltál minden tűzfal szabály törlést, nem egy notebook az otthoni tűzfal mögött helyre. -
bambano
titán
"Egyébként meg egész kis irodákban is lehet hasonló, pl lokális levelező szerver, vpn szerver, ftp, innen viszont már lehet érdemes pár tűzfal szabályt beállitani.": de nem kisirodáról volt szó.
"Miért is? Ez személyes adat?": az, hogy ip cím, nem személyes adat. Az, hogy "tudom az előfizetőim utolsó ip címét" igen, mivel ebben a verzióban az ip cím konkrétan azonosít egy embert. egyébként ettől függetlenül ha előfizetőid vannak, akkor adatkezelő vagy, amire vonatkoznak szabályok.
-
vjozsef
senior tag
1. Kivancsi voltam.
2. "vjozsef: mire kell script?
address listbe felveszed : 200.0.0.0/8 (ez itt pl latin amerika és karibi), mondjuk egy blokkolt listába
első szabály, (az established és related accept után) input és forward chainbe, hogy drop."Na ne mar hogy kezzel toltogessem.
-
bacus
őstag
válasz
vjozsef
#1708
üzenetére
Ne már gyerekek..
input chain, dst port 22, in interface a WAN (pppoe vagy dhcp client interface, kinek mi)
action add src to address list.Ez mindenkit hozzáad, aki a 22-es porton próbálkozik. Ha nincs ssh szervered engedélyezve akkor ez mind próbálkozás is marad, ha van, akkor ebben benne lesznek azok is akik be is léptek.
vjozsef: mire kell script?
address listbe felveszed : 200.0.0.0/8 (ez itt pl latin amerika és karibi), mondjuk egy blokkolt listába
első szabály, (az established és related accept után) input és forward chainbe, hogy drop.ha te akarsz ott honlapot nézni, azt tudod, de onnan nem tud kezdeményezni
-
Kiskutyák
aktív tag
"Csak kíváncsiság képpen csináltam egy port scannelés elleni rule-t, ami annyit tesz, hogy a 80 21 22-es portokra érkező közvetlen kéréseket logolja IP cím formájában és ki is tiltja ezeket az IP címeket."
Engem érdekelne ez a rule, hogy hogyan is néz ki pontosan. Le tudnád nekem írni? Köszönöm
-
vjozsef
senior tag
"nem sok kb 2 kilóméter, de rossz rálátással, "
Ezen Mikrotik sem fog segiteni, sot semmi sem. Freshnel zona szamitas megvolt?
Ebben az esetben az adoteljesitmeny noveles meg kb agyuval a verebre.
-
brickm
őstag
Csak kíváncsiság képpen csináltam egy port scannelés elleni rule-t, ami annyit tesz, hogy a 80 21 22-es portokra érkező közvetlen kéréseket logolja IP cím formájában és ki is tiltja ezeket az IP címeket.
A rule kb 1 hete él.
Az eredménye szerintem cseppet sem figyelmen kívül hagyható, amennyiben valaki megnézi a begyűjtött címek számát.
[link]
Ez egy irodai környezet 3 kiszolgálóval, amiből 2 kifelé is szolgáltat.De nézzük meg az én itthoni hálózatom address-list-jét, ami konkrétan ma reggel 9:10perc óta megy kb:
51 items -
bacus
őstag
válasz
bambano
#1701
üzenetére
1. bambano -nek mindig igaza van.
2. ha bambano-nek mégsem lenne igaza valamiben (de ennek a valószínűsége tart a 0-hoz), akkor egyszerüen alkalmazzuk az 1. szabályt.
Igy rendben van?
"persze nyugodtan kezdj el ellene érvelni"
nincs értelme, részben azért mert hiába lenne ez a kettes pont, akkor is az egyes pont érvényesül, részben azért mert ez az egyes pont
Egyébként meg egész kis irodákban is lehet hasonló, pl lokális levelező szerver, vpn szerver, ftp, innen viszont már lehet érdemes pár tűzfal szabályt beállitani."és minden adatkezelési jogszabálynak is megfelelsz?"
Miért is? Ez személyes adat? -
bambano
titán
"Ez a minden tűzfal szabály törlése, ez bambano szigorú magánvéleménye!": ettől még igaz marad. persze nyugodtan kezdj el ellene érvelni, majd meglátjuk az eredményét.
"Minden attól függ, hogy ki, mire használja a mikrotiket.": így van, ez a lényeges kitétel. arra, hogy otthoni vagy kisirodai kapcsolatot kezeljen a mikrotik, nagyjából semmi nem kell bele.
"Pl. Nálam kifele minden gépről tiltva van a 25 port, csak a szerver mehet": emlékeim szerint nálad hegyekben állnak a vpn kapcsolatok, stb. stb. szóval az, hogy nálad hány és milyen tűzfal szabály kell, nem mérvadó egy olyan helyre, ahol sima felhasználás van.
"és csak egy adott wan kapcsolaton.": vagyis nálad több wan kapcsolat van. ez se gyakori.
"Ftp van, brute force törés tiltva": hát igen, a veszélyesen élőknek nem árt, ha több szabályt használnak
"Van még pár lista, pl. Honnan ftpztünk be, igy megvan ügyfélkör legutóbb ismert ip címe.": és minden adatkezelési jogszabálynak is megfelelsz?
"Az itthoni routeremen sokkal kevesebb szabállyal van. Alap tüzfal, tulképp ki is törölhetném": ugye-ugye, csak eljutunk odáig, hogy bambanőnek megint igaza van. te is azt mondod, amit én: az otthoni/kisirodai típusú felhasználáshoz felesleges többoldalnyi tűzfal szabály.
persze ettől még működnie kellene...
Új hozzászólás Aktív témák
Hirdetés
ekkold- The Division 2 (PC, XO, PS4)
- Xiaomi 15 - kicsi telefon nagy energiával
- Kínai és egyéb olcsó órák topikja
- Leégett az első Radeon a hírhedt 12V-2x6 tápkonnektorral
- sziku69: Fűzzük össze a szavakat :)
- Háztartási gépek
- Luck Dragon: Asszociációs játék. :)
- Vicces képek
- PlayStation 5
- Kormányok / autós szimulátorok topikja
- További aktív témák...
- Asus ROG Strix Flare II Animate Gamer Billentyűzet - Magyar kiosztás
- Lenovo 14 Ideapad 3 FHD LED Matt i3-1115G4 4.1Ghz 8GB 256GB SSD Intel UHD Graphics Win11 Garancia
- Acer, notebook, laptop, Ryzen 5 5500u, 16gb ddr4, 1tb ssd, 15.6 col
- Eladó 3. generációs I7-es számítógép
- ASUS ROG STRIX 850W 80 PLUS Gold - Garancia 2033.05.04
- Ritkaság! Hibátlan! Intel Core I9 13900KS Processzor!
- Vállalom telefonok,tabletek javítását ,(szoftveres hibát is,frp lock-ot is)márkától fügetlenűl
- Bomba ár! Dell Latitude E7450 - i5-5GEN I 8GB I 250GB I 14" FHD I HDMI I Cam I W10 I Garancia!
- Update 08.22. - Bomba árak 2025-ben is! Üzleti - Consumer laptopok DELL FUJITSU HP LENOVO
- Bomba ár! Lenovo ThinkPad L13 G1 - i5-10GEN I 16GB I 512SSD I 13,3" FHD I HDMI I Cam I W11 I Gari!
Állásajánlatok
Cég: FOTC
Város: Budapest