Hirdetés
- Luck Dragon: Asszociációs játék. :)
- bb0t: Ikea PAX gardrób és a pokol logisztikája
- GoodSpeed: A RAM-válság és annak lehetséges hatásai
- GoodSpeed: Márkaváltás sok-sok év után
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- sziku69: Fűzzük össze a szavakat :)
- ldave: New Game Blitz - 2025
- Real Racing 3 - Freemium csoda
- Gurulunk, WAZE?!
- Brogyi: CTEK akkumulátor töltő és másolatai
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#15751
ekkold
Topikgazda
joekajoeka
#15741
ekkold
Topikgazda
válasz
joekajoeka
#15741
üzenetére
Használd inkább a wireguardot! Az bármelyik UDP porton lehet, és akkor knock sem feltétlenül kell. Eleve nem tudják melyik porton van, és azt sem, hogy azon a porton éppen wireguard van. A kulcsok jó hosszúak, és csak nyilvános kulcsot kell cserélni hozzá. Ha a hackernek van egy szuperszámítógép-hálózata, meg sok éve próbálkozni - hát sok sikert hozzá. Ha nincs hátsó ajtó a wireguard kódjában, (nyílt forráskódú, és a kód is rövid - tehát nagy eséllyel kiszúrnák a fejlesztők) akkor nem igazán van realitása a feltörésének.
-
#15742
jerry311
nagyúr
joekajoeka
#15741
jerry311
nagyúr
válasz
joekajoeka
#15741
üzenetére
A tűzfal szabályokat fentről lefelé (az elsőtől az utolsó felé) ellenőrzi a rendszer, de csak az első egyezésig. Ha egyezés van, akkor azt a szabályt használja, nem folytatja tovább, hogy hátha van még másik is.
-
#10348
Adamo_sx
aktív tag
joekajoeka
#10341
Adamo_sx
aktív tag
válasz
joekajoeka
#10341
üzenetére
Akár a Winboxban, akár a terminálban csinálhatod, mindkettőben megoldható, amelyik szimpatikusabb. Ha rákeresel itt a fórumban, az egyik tagtárs készített egy leírást a kezdő beállításokról, azt mindenképp érdemes átfutni.
@bacus: Csak én használom a VPN-t, úgyhogy észben tartom a "korlátozásokat", illetve amikor sikerül belépni, akkor egy script törli az aktuális IP-t a feketelistáról, így a belépés után "tiszta lappal" kezdek.
-
#10342
bacus
őstag
joekajoeka
#10341
bacus
őstag
válasz
joekajoeka
#10341
üzenetére
én a saját routereimnél úgy kezdem, hogy egy jó nagy listát ami évek alatt összegyűlt, eleve tiltok. Ezek nem érhetnek el, talán a https web kiszolgáló működik, de van ahol az sem.
Amikor jön új spam pár darab, akkor (persze nem egy kósza spam után) sokszor az egész 16-os netmaskját tiltom. Ez a related accept után van, ezért ha én tévednék az ő web oldalára, akkor megjön a válasz..., tehát én elérem őt.
Van script (volt itt a fórumon, de biztos beteszi neked valaki) ami összegyüjti a magyar ip cimeket és ráteszi egy listára. Ha elég, hogy csak innen van vpn, akkor csak onnan engedsz be bárkit, másnak zárod a portot.
szépen ki fog tisztulni a log.
Egyébként a vpn-felől jövő kapcsolatokat is mindig másik alhálóba rakom, minden onnan nem érhető el, csak az amit adott user el kell érjen. Igy pl ügyfeleket is le tudom szeparálni. Ha valaki végig scannel, bekerül egy logba, majd nagyobb figyelmet.
A vpn userek soha nem kapnak netet. Nekem ez bevált eddig.Ja és adamo_sx megoldása is tökéletes. Itt csak arra kell figyelj, hogy egy szakadozó net is kibannolhatja a klienst, tehát kellhet mellé port knocking, amivel törlöd az ilyet a blakclistről.
-
#10339
Adamo_sx
aktív tag
joekajoeka
#10337
Adamo_sx
aktív tag
válasz
joekajoeka
#10337
üzenetére
Nem a router típusa miatt kezdtek el most támadni, valószínűleg eddig is mentek a próbálkozások, csak a boldog tudatlanságban éltél.
A legtöbb próbálkozás a routerre irányul, ezért én az input chain-ben próbálom ezeket szűrni. És kézzel elég macera lesz, mert elég sok IP cím lesz, amit be kellene írnod.
Én ezzel próbálom megoldani:6 ;;; Drop IP from Blacklistchain=input action=drop src-address-list=blacklist log=no log-prefix=""8 ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connectionschain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist"9 ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connectionschain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist"10 ;;; IP address that attempted to create 2 VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix=""11 ;;; IP address that attempted to create 2 VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix=""12 ;;; IP address that attempted to create a VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix=""13 ;;; IP address that attempted to create a VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=udp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix="" -
#10338
Zwodkassy
senior tag
joekajoeka
#10337
válasz
joekajoeka
#10337
üzenetére
Kezdetnek ez is elég. Ha rutinosabb leszel, teszel mást is 😁
-
#10336
bacus
őstag
joekajoeka
#10335
bacus
őstag
válasz
joekajoeka
#10335
üzenetére
Huh, fura fogalmaid lehetnek a "nagy baj" ról.
Mi ezzel a probléma? Be akarnak jönni... és? betudtak? Miért nem teszel ellene ha zavar a próbálkozásuk? Ez egy mikrotik router, számtalan megoldás van ellene, port knocking-tól az egyéb egyedi script, tiltó lista, stb. Itt többször volt róla szó.
"Mit tudok csinálni?"
- igy hagyod
- teszel ellene (visszaolvasol, választasz egy szimpatikus megoldást és megvalósítod)
Új hozzászólás Aktív témák
ekkold- Keressek intel i7-i9!!
- Szép! Lenovo Thinkpad T14s G2 Üzleti "Golyóálló" Laptop 14" -50% i7-1185G7 4Mag 16GB/1TB FHD IPS
- Szép! Lenovo Thinkpad T14s G2 Üzleti "Golyóálló" Laptop 14" -50% i7-1185G7 4Mag 16GB/512GB FHD IPS
- Dell PowerEdge T110 II PC, Xeon E3-1220 v2 CPU, 32 GB DDR3 RAM, 2 x 1 TB SAS HDD
- Lenovo Tab M10 HD 64GB, Kártyafüggetlen, 1 Év Garanciával
- iking - Apple iPhone 14 Pro Graphite ProMotion 120 Hz, 48 MP kamera, Dynamic Island 128 GB
- 164 - Lenovo Legion Pro 7 (16IRX9H) - Intel Core i9-14900HX, RTX 4090
- iPhone 13 mini emelt kapacitású 2520mAh diagnosztizálható akkumulátor, +ajándék ragasztó
- NVIDIA Quadro P5000 GPU 16GB GDDR5X memóriával
- Microsoft Surface Laptop 4 13.5" i7-1185G7 16GB 512GB 1 év garancia
Állásajánlatok
Cég: BroadBit Hungary Kft.
Város: Budakeszi
Cég: ATW Internet Kft.
Város: Budapest