Jump to content
Local
blogpatik

Mikrotik_Делимся опытом, помогаем друг другу

Recommended Posts

После изучения Mikrotik RB941 очень часто начали возникать вопросы, на какие не так просто :)  с маленьким опытом найти ответы.

Вот я и решил создать тему, в которой постоянно можно будет задать вопрос по настройке микротика, не создавая лишних тем! 

И так, поехали...

 

Проблема №1

Wi-Fi у меня без пароля, в какой то момент я заметил непонятные действий в логах:

 

это соседский смартфон почему то к моему роутеру не равнодушен... 

 

Почему такое происходит и как правильно действовать, ведь раньше он частенько пользовался моим халявным нетом, а теперь вот такое в логах, и так каждую минуту.

 

 

post-39626-0-41607600-1478282991_thumb.png

post-39626-0-81561900-1478283199_thumb.png

Share this post


Link to post
Share on other sites

Я очень рад что вы такой умный, но гуглом и я пользоваться умею, но на мой вопрос выше, я ответ знайти не смог, потому и создал тему на такую тематику! 

Share this post


Link to post
Share on other sites

Добавьте в access list и заблочьте. И пароль на вайфай повесьте. WPA2.

Share this post


Link to post
Share on other sites

Подскажите, каким образом можно через Firewall запретить доступ к сайтам, который заканчиваются на .ru

Чтобы запретить ходить по сайтам агресора. 

Сейчас актуально для государственных установ

Share this post


Link to post
Share on other sites

Можливо хтось знає, виникла проблема, не можу обновити мікротік у звязку з тим, що залишилося мало місця на диску, а що видалити, не знаю, ніякої підказки в гуглі не знайшов...

post-39626-0-24496500-1497633830_thumb.jpg

post-39626-0-77367400-1497633836_thumb.jpg

Edited by blogpatik

Share this post


Link to post
Share on other sites

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

Share this post


Link to post
Share on other sites

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

А каким образом "убить" этот файл или где его искать не подскажите?

Share this post


Link to post
Share on other sites

 

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

А каким образом "убить" этот файл или где его искать не подскажите?

 

у вас на скриншоте с вкладки Files

выделили файлик, нажали на "красный минус"

Share this post


Link to post
Share on other sites

Проблема вирішилася скиданням налаштуваннь кнопкою. Відразу збільшилося місце та система оновилася

Share this post


Link to post
Share on other sites

Виникло наступне запитання:

Яким чином захистити мікротік із білою ір - адресою від елементарних DDOS атак, наприкладі ось таких програмок https://zhacker.net/ddos, яких є маса в просторах інтернету.

Наразі відкритий udp порт для роботи ip телефонії та vpn між офісами.

 

Наразі прописане ось таке правило, яке не зовсім допомагає

post-39626-0-91602900-1500368544_thumb.jpg

post-39626-0-16066300-1500368551_thumb.jpg

Share this post


Link to post
Share on other sites

Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов....

 

Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов.

 

Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло...

Edited by Dimkers

Share this post


Link to post
Share on other sites

Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов....

 

Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов.

 

Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло...

Проблема в тому, що через мікротік проводиться відеоконференції... якщо буде DDOS, то роутер зависає , цпу 99% відразу.

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Share this post


Link to post
Share on other sites

Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается.

Или я чего-то не понимаю...

Share this post


Link to post
Share on other sites

Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается.

Или я чего-то не понимаю...

Так, в мене лише цих 2 правила, так і живемо, все по трошки вдосконалюється та вивчається

Share this post


Link to post
Share on other sites

Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме :D

 

 

 

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов?

Edited by Dimkers

Share this post


Link to post
Share on other sites

Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме :D

 

 

 

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов?

Дякую. Ну в мене все відключено... взагалі до мене ніхто не стукається. Проблема в тому, що я сам тестую роутер на вразливості. Скачую будь-яку прогу, що вміє ддосити, ввожу ір адрес, вибираю протокол tcp або udp, в результаті мікротік лежить. 

А я пробую знайти спосіб як захиститися від можливої атаки. 

P.S. Ставка в мене не висока)

post-39626-0-29086600-1500397230_thumb.jpg

Share this post


Link to post
Share on other sites

Ну полностью не защититесь. Ибо если начнут долбать - то по-любому будет нагрузка. И если роутер слабый и канал небыстрый - будет дропать - лагать. У нас было ддосом провайдера положили на пару дней - направленная атака на одну из фирм-клиентов.

Но, как Вам сказали уже - нужно блокировать всё и разрешать только нужное.

Кроме того если роутер слабенький - не используйте address list - у микротика работа со списками медленная.

Включите fast-track. Используйте бекапный канал.

Edited by BlackVS

Share this post


Link to post
Share on other sites

ТС, закройте доступ к микротику из вне. А то будут на порт винбокса пионерщики ломиться...

Share this post


Link to post
Share on other sites

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Edited by holubets

Share this post


Link to post
Share on other sites

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити?

Share this post


Link to post
Share on other sites

 

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити?

 

DDOSить могут любой адрес. Было бы желание.

Положить микротик в полку можно на уровне фаервола на легко, всё зависит от полноты налитого стакана количества запросов к микроту.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×