Keresés: - Mikrotik routerek - LOGOUT Hozzászólások

Hirdetés

Legfrissebb anyagok

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Keresés

Téma összefoglaló

Utoljára frissítve: 2025-08-03 17:27

LOGOUT

Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

#5316 ekkold Topikgazda Core2duo6600 #5315

Új Válasz 2018-08-05 15:38:41 #5316
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

ekkold

Topikgazda

válasz Core2duo6600 #5315 üzenetére

Az alapján, hogy a legtöbbet a DNS-t (53-as port), FTP, SSH, Telnet, WWW portokat támadják, ezeket eleve nem érdemes defaulton hagyni. Viszont ha eredeti portokat én nem használom, akkor aki ezen akar bejönni az eleve rossz szándékú, tehát mehet a feketelistára.
Tehát:
port scannelők:
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
tiltott portok (kivéve LAN-ról):
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input comment="blacklist kiv\E9ve lan TCP" dst-port=\ 20-1023,8000,8080,8192 protocol=tcp src-address=!192.168.0.0/16 add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input comment="2blacklist kiv\E9ve lan UDP" dst-port=\ 20-122,124-1023,8000,8080,8192 protocol=udp src-address=!192.168.0.0/16
fekete listán levők drop-olása:
/ip firewall filter add action=drop chain=input comment="drop blacklist" src-address-list=blacklist add action=drop chain=forward comment="drop blacklist" src-address-list=blacklist
Persze vannak további szabályok is felvéve, hogy pl. VPN-en be tudjak jönni, meg vannak kifordított portok is PC-k felől, de kb. ennyi a lényeg ebből.
Az UDP 123-as portot ki kelett vennem mert különben nem működött az időszerver lekérdezése, amihez egyébként ennyi kell csak:
/system ntp client set enabled=yes primary-ntp=148.6.0.1 secondary-ntp=52.178.161.41 /system clock set time-zone-autodetect=no time-zone-name=Europe/Budapest
Amúgy korábban voltak ingyen megnézhető "mikrotik tanfolyam" videók a neten, amiből megnéztem párat, ebből merítettem ötletet, de már kb. 8 éve megismerkedtem a mikrotik cuccokkal, így ragadt rám valamennyi abból, hogy miket tudnak ezek a cuccok. Jelenleg ott tartok, hogy egyszerűbb scripteket is meg tudok csinálni, pl. megoldottam, hogy ha valaki felcsatlakozik a VPN-re akkor küld róla egy mailt a router aztán "játékból" a wifire is megcsináltam ugyanezt.
Pl. ilyen emaileket kapok a régi RB951-es AP-tól:
RB951 - Wifi Aktív kapcsolatok 3 db: aug/05/2018 15:30:00 1 IF: wlan-mana IP: 192.168.10.4 MAC: 04:D6:AA:05:78:7A Rate: 117Mbps-20MHz/2S Signal: -68dBm@1Mbps UpTime: 02:44:26 2 IF: wlan-mana IP: 192.168.10.16 MAC: 00:E0:4C:1D:08:FE Rate: 120Mbps-40MHz/2S/SGI Signal: -72dBm@HT40-0 UpTime: 02:39:31 3 IF: wlan-mana IP: 192.168.10.9 MAC: C8:21:58:7B:3F:4F Rate: 270Mbps-40MHz/2S/SGI Signal: -72dBm@HT40-2 UpTime: 00:01:40