Hirdetés
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Luck Dragon: Asszociációs játék. :)
- petipetya: Nagy chili topic. :)
- gban: Ingyen kellene, de tegnapra
- sziku69: Fűzzük össze a szavakat :)
- GoodSpeed: Kell-e manapság egérpad vagy sem?
- Meggyi001: Eldugott helyek Párizsban, amiket jó eséllyel még nem láttál... 2. rész.
- gerner1
- sziku69: Szólánc.
- bambano: Bambanő háza tája
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Reggie0
félisten
válasz
amargo
#16552
üzenetére
/ip firewall layer7-protocol
add comment="Block Bit Torrent" name=layer7-bittorrent-exp regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=local layer7-protocol=layer7-bittorrent-exp new-connection-mark=torrent_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=torrent_conn layer7-protocol=layer7-bittorrent-exp new-packet-mark=torrent_packet passthrough=no
Ezek utan mar csak egy tuzfal szabalyt kell ki-be kapcsolnod, ami ezeket a kapcsolatokat blokkolja mobilnet eseten. -
Reggie0
félisten
válasz
amargo
#16540
üzenetére
Persze. A mobilszolgaltatok minden vackot osszevissza tiltogatnak. Az, hogy a ping nem megy egy elegge hetkoznapi dolog. Ezen kivul meg szoktak korlatozni egyes udp portokat, ha hosszan forgalom van rajta, pl. mi mar tobbszor jarunk ugy telenoros netnel, hogy az openvpn tunnelt tcp-re kellett atraknunk, vegyul 443-as tcp-re. Pedig meg a forgalom sem volt nagy, csak allando.
-
-
Reggie0
félisten
válasz
Audience
#16484
üzenetére
Ha megnyitod az URL-t, akkor ezt tolti le:
/log info "Loading HU ipv4 address list"
/ip firewall address-list remove [/ip firewall address-list find list=HU]
/ip firewall address-list :do { add address=2.58.168.0/22 list=HU } on-error={} :do { add address=2.59.196.0/22 list=HU } on-error={} :do { add address=5.28.0.0/21 list=HU } on-error={} :do { add address=5.38.128.0/17 list=HU } on-error={} :do { add address=5.56.32.0/21 list=HU } on-error={} :do { add address=5.61.240.0/21 list=HU } on-error={} :do { add address=5.63.192.0/18 list=HU } on-error={} :do { add address=5.148.192.0/18 list=HU } on-error={} :do { add address=5.149.240.0/21 list=HU } on-error={} :do { add address=5.159.232.0/21 list=HU } on-error={}
...Ez egyertelmuen egy script, ami eppenseggel addresslistet tolt fel. De mi a garancia, hogy nem hekkelik meg vagy oket vagy a listagenerator es a routered kozott a kapcsolatot es injektalnak a scriptbe valamit aminek nem orulnel?
-
Reggie0
félisten
válasz
Zwodkassy
#16480
üzenetére
Nem a te scripted, hanem amit letolt http-vel az egy mikrotik script es azt futtatja le. Te most vakon abban bizol, hogy tenyleg csak firewall address list lesz. Raadasul mindezt titkositatlan csatornan keresztul, ugyhogy meg egy man in the middle tamadas is rohogve kivitelezheto.
-
Reggie0
félisten
CCR1009-en hasznalom. Talan 1%, ha maxra van terhelve a savszel. De nincs is sok talalat, aliexpressen, banggoodon meg nehany kormany-propaganda oldalon vannak orosz(yandexes es hasonlo) tracker oldalak hivatkovzva, de azok nelkul is mukodnek. Nyugati cegek orosz teruletrol ugysem uzemeltetnek es nem is vesznek igenybe szolgaltatast, igy az internetes jelentoseguk total nulla, csak a tamadas johet toluk, ertelmes dolog nemigazan.
-
Reggie0
félisten
válasz
TOZOLI72
#16463
üzenetére
En ezt a listageneratort hasznalom, mert intelligens es a kisebb tartomanyokat osszevonja egybe, ha lehet, igy kevesebb elembol fog allni a lista: https://mikrotikconfig.com/firewall/
Nekem az orosz-belarusz tiltolista kb. 10000 kulonallo tartomanybol all, ennyi eleme lesz a listanak.
A tuzfalban:
ip firewall filteradd chain=forward action=reject reject-with=icmp-net-prohibited dst-address-list=RussianIPBlocks log=no log-prefix=""add chain=input action=drop src-address-list=RussianIPBlocks log=no log-prefix=""add chain=output action=drop dst-address-list=RussianIPBlocks log=no log-prefix="" -
-
Reggie0
félisten
válasz
ekkold
#16317
üzenetére
A gyari szam nem valtozik meg, csak mas ddns cimet ir a cloud, mint a serialja. Neha meg ugyan az. Most ez:
[admin@MikroTik] > /ip/cloud/print
ddns-enabled: yes
ddns-update-interval: none
update-time: yes
public-address: 8************
dns-name: 45************.sn.mynetname.net
status: updated
[admin@MikroTik] > /system/routerboard/print
routerboard: yes
model: CCR2004-16G-2S+
serial-number: HA*********
firmware-type: al64
factory-firmware: 7.0.4
current-firmware: 7.0.4
upgrade-firmware: 7.1 -
#16250
Reggie0
félisten
silver-pda
#16246
Reggie0
félisten
válasz
silver-pda
#16246
üzenetére
Wifiwave2-ot tedd fel.
-
#16224
Reggie0
félisten
Marcelldzso
#16223
Reggie0
félisten
válasz
Marcelldzso
#16223
üzenetére
Cap AC XL miert jo egy cegnek? En nem vennem meg tobb juzerhez.
Lehet jobban jarsz, ha a wap ac+cap ac helyett egy audience -t veszel. Bar dragabb, de az legalabb tud mu-mimo-t, 4x4-es a 2x2 helyett.
-
#16222
Reggie0
félisten
Marcelldzso
#16221
Reggie0
félisten
válasz
Marcelldzso
#16221
üzenetére
Hardverapro?
-
-
Reggie0
félisten
-
Reggie0
félisten
Ez egyaltalan nincs igy. Az 1000-1500 forintos csomagokon is siman elfut a linux, nekem is igy van fix IP-m.
En ATW-nel vettem, 1GB ram, 10GB SSD tarhely, ennyi boven eleg a routinghoz. Havi 900 forint egy eves elore fizetessel.(Hiaba vettel C osztalyt regen, siman elvettek. Regen sokan sefteltek vele, nagyon keveseknek sikerult csak megtartani. Nekem is volt, de aztan elvettek ahogy fogyak az IP-k. Valami roman tartomany volt.).
-
#16133
Reggie0
félisten
lionhearted
#16132
Reggie0
félisten
válasz
lionhearted
#16132
üzenetére
Meg mas az iranykarakterisztikaja, ami mondjuk az integralt antennaknak jellemzoen nem olyan jo, igy azert a kulso antennatol jogosan lehet javulast remelni.
-
Reggie0
félisten
válasz
ekkold
#16062
üzenetére
Ez egy jo kerdes. A 36 magos, 1.4GHz-es tilera coremark score 165000, mig pl. a raspi 4 magos 2.15 gigahertzes ARM A72-vel a 4 magos rpi 45000. Szoval ha visszaszamoljuk, akkor az 1 gigas 9 magos TILE procira kb. 30000 jon ki, mig az 1.4 gigas 88F7040-ra szinten 30000. De ez csak egy becsles a coremark ertekek alapjan, a cache meretek, erosen elternek, illetve van ahol az egymagos teljesitmeny szamit. A linuxhoz kene hozzaferni, hogy benchmarkolni lehessen.
Viszont ha a mikrotik routing performance-t nezzuk, akkor a tile vagy 30%-50%-al gyorsabb, es azt mind a ketto CPU-bol tolja. -
-
Reggie0
félisten
válasz
betyarr
#16039
üzenetére
Az src address teljesen normalis, hogy ilyen, mivel mindig a kovetkezo szabad portot nyitja egy uj kapcsolathoz, ha az elozoekbol nem zarodott be. OS es beallitas fuggo, van amelyik randomizalja az src portokat, van ami meg addig noveli, amig nem talal egy szabad portot.
Viszont eleg szerteagazo cimekre probal becsatlakozni, valoszinu, hogy vmi portscanner fut a gepen, vagy meghekkeltek.
-
#16048
Reggie0
félisten
lionhearted
#16047
Reggie0
félisten
válasz
lionhearted
#16047
üzenetére
Mondjuk abban nem vagyok biztos, hogy sima routinghoz mennyire kell osszeilleszteni. Szerintem semennyire, ahogy ipv4-nel sem kell. Meg is halnanak a szolgaltatok, mert nem gyoznek a router-memoriaval.
De hogy visszaterjunk a CCR-hez. Round robin load balancingot, ami parhuzamositott, az audience (4x700MHz procival) 100% load mellett tud 2Gbitet. CCR-nel ehhez a sebesseghez kb. 1% load tartozik.
-
#16046
Reggie0
félisten
lionhearted
#16044
Reggie0
félisten
válasz
lionhearted
#16044
üzenetére
Azert ez nem ennyire egyertelmu. Max a header feldolgozasa nem parhuzamosithato vegtelensegig, de az adat pakolgatasa a memoriaban mar igen.
-
-
Reggie0
félisten
Nem. Arra gondolok, hogy mindent a proci csinal CCR1xxx-nel(van 1-2 kivetel amibe switch chip is kerult, ezt ellenorizni kell). Ezert az L2 ACL nincsen korlatozva, akarhany bridged lehet ugyanolyan jo sebesseggel, mert nincs szukseg hardveres gyorsitasra, minden forgalom bemegy a prociba, igy nem kell trukkozni ha sniffelni szeretnel, mivel a HW gyorsitas szokta eltuntetni a csomagot a proci elol, stb.. Ezen felul a VLAN es port izolacios kepessegek korlatlanok, nincsenek switch chip tipusabol eredo megkotesek.
Minden mas cuccnal a router kepessegei fuggnek a switch IC-tol is. Peldaul RB5009 eseten a layer 2 acl rule-bol csak 256 darabot tud kezelni a switch(osszesen az osszes ethernet porton) es peldaul ha tcp/udp portra is akarsz szureseket tenni, akkor nagyon gyorsan elfogynak, mert egy rule-ban csak egy port szerepelhet. Vagy ha MAC address-re(pl. Apple-s, kinai stb egyeb) gyartonkent valamilyen szabalyokat szeretnel, mert MAC cimre maszkot sem lehet megadni.
-
Reggie0
félisten
válasz
betyarr
#15969
üzenetére
Eleg valoszinu. Sok szolgaltato szuri, mivel tamadasra hasznalhato, lasd: "DNS amplification DDOS attack"
A tuzfal szerintem rendben van, bar az elso ket szabalyt megcserelheted. (Ha a logikan nem valtoztat azt erdemes elorebb rakni, amelyik tobbszor kovetkezik be, igy kevesebb szabalyt kell kiertekelni atlagosan.)
-
Reggie0
félisten
válasz
ekkold
#15966
üzenetére
RB5009 ARM alapu, igy biztos fog menni rajta a Container, mivel dockeren az ARM architekturak tamogatottak. CCR1xxx szeriara is megjelent a Container, de meg nem lattam feltoltheto imaget, ha egyaltalan mukodik, akkor valakinek azt a nullarol kell osszeollozni, mert a Dockernel nem tamogatott architektura.
CCR1009 elonyok:
- erosebb proci
- soros konzol
- microSD foglalat
- procibol megy a networking
- nincs switch chip
- nagyobb ram
- lcd kijelzo(ha szamit)RB5009 elonyok:
- sokkal nagyobb nand
- extra 2.5 gigas port
- biztos lesz docker -
Reggie0
félisten
-
Reggie0
félisten
-
#15785
Reggie0
félisten
silver-pda
#15784
Reggie0
félisten
válasz
silver-pda
#15784
üzenetére
reject/drop/accept vegez vele, return csak akkor, ha fotablaban van, ekkor a default szabaly szerint, illetve a tarpit is vegez. A tobbi tovabbhalad.
-
#15782
Reggie0
félisten
silver-pda
#15778
Reggie0
félisten
válasz
silver-pda
#15778
üzenetére
BUEK!
Nem kell, untracked csak ugy lesz egy connection, ha a raw tablaban untrackednek markolod.
Az add-src/dst-to-address-list nem vegez a csomaggal, a kovetkezo szaballyal megy tovabb a tablaban.
-
-
-
-
Reggie0
félisten
Mert az automatikus scriptek nem veszik figyelembe a maganeletedet, illetve, hogy mikor ersz ra egy netinstallt lezavarni. Ezen felul nem art megvarni, mig a tobbsegtol jon valamifele visszajelzes a szoftverrel kapcsolatban, mert lehet, hogy valami gond van vele. Az elso korben telepitok a betateszterek.
Új hozzászólás Aktív témák
- ÁRGARANCIA! Épített KomPhone Ultra 9 285K 64GB RAM RTX 5090 32GB GAMER PC termékbeszámítással
- Lenovo T450s notebookok - 14", i5-i7, 4-12GB RAM, eu vil.bill, számla, gar
- HIBÁTLAN iPhone 13 Pro 128GB Graphite -1 ÉV GARANCIA - Kártyafüggetlen, MS3747, 91% Akkumulátor
- Új és újszerű 13-14 Gamer, ultrabook, üzleti, 2in1, X360, Touch készülékek kedvező áron Garanciával
- Samsung Galaxy S21 Ultra 5G / 12/256GB / Kártyafüggetlen / 12Hó Garancia
Állásajánlatok
Cég: NetGo.hu Kft.
Város: Gödöllő
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest