Перейти к содержимому

Mikrotik_Делимся опытом, помогаем друг другу

blogpatik

Автор: blogpatik,
в Маршрутизатор L3

 Share Подписчики 4

Рекомендованные сообщения

blogpatik

blogpatik 0

Опубликовано:
Опубликовано:

После изучения Mikrotik RB941 очень часто начали возникать вопросы, на какие не так просто :)  с маленьким опытом найти ответы.

Вот я и решил создать тему, в которой постоянно можно будет задать вопрос по настройке микротика, не создавая лишних тем! 

И так, поехали...

 

Проблема №1

Wi-Fi у меня без пароля, в какой то момент я заметил непонятные действий в логах:

 

это соседский смартфон почему то к моему роутеру не равнодушен... 

 

Почему такое происходит и как правильно действовать, ведь раньше он частенько пользовался моим халявным нетом, а теперь вот такое в логах, и так каждую минуту.

 

 

post-39626-0-41607600-1478282991_thumb.png

post-39626-0-81561900-1478283199_thumb.png

Ссылка на сообщение
Поделиться на других сайтах
  • Ответы 216
  • Created
  • Последний ответ

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

olsasha

Потому-что через simple queues будет распределение по ядрам CPU.

virtus

У кого какую нагрузку держит CCR1036 ? У нас реально держит 500+ абонентов с нагрузкой в районе 1г. ,авторизация IPoE (hotspot), NAT, реальники через PPPoE, около 50 правил фаервола, у абонентов

tkapluk

Тем не менее с поставленной задачей справится без проблем.  Дальше там цены вообще в космос уходят для таких сетей...    ага, а 1072 уже убила циску ?

Posted Images

ruslan.r

ruslan.r 22

Опубликовано:
Опубликовано:

В инете куча мануалов:

http://google.gik-team.com/?q=%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0+%D0%BC%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA

Ссылка на сообщение
Поделиться на других сайтах
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано:

Я очень рад что вы такой умный, но гуглом и я пользоваться умею, но на мой вопрос выше, я ответ знайти не смог, потому и создал тему на такую тематику! 

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано:

Подскажите, каким образом можно через Firewall запретить доступ к сайтам, который заканчиваются на .ru

Чтобы запретить ходить по сайтам агресора. 

Сейчас актуально для государственных установ

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано: (изменено)

Можливо хтось знає, виникла проблема, не можу обновити мікротік у звязку з тим, що залишилося мало місця на диску, а що видалити, не знаю, ніякої підказки в гуглі не знайшов...

post-39626-0-24496500-1497633830_thumb.jpg

post-39626-0-77367400-1497633836_thumb.jpg

Изменено пользователем blogpatik
Ссылка на сообщение
Поделиться на других сайтах
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано:

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

А каким образом "убить" этот файл или где его искать не подскажите?

Ссылка на сообщение
Поделиться на других сайтах
mixtery

mixtery 123

Опубликовано:
Опубликовано:

 

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

А каким образом "убить" этот файл или где его искать не подскажите?

 

у вас на скриншоте с вкладки Files

выделили файлик, нажали на "красный минус"

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано:

Виникло наступне запитання:

Яким чином захистити мікротік із білою ір - адресою від елементарних DDOS атак, наприкладі ось таких програмок https://zhacker.net/ddos, яких є маса в просторах інтернету.

Наразі відкритий udp порт для роботи ip телефонії та vpn між офісами.

 

Наразі прописане ось таке правило, яке не зовсім допомагає

post-39626-0-91602900-1500368544_thumb.jpg

post-39626-0-16066300-1500368551_thumb.jpg

Ссылка на сообщение
Поделиться на других сайтах
Dimkers

Dimkers 1 606

Опубликовано:
Опубликовано: (изменено)

Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов....

 

Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов.

 

Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло...

Изменено пользователем Dimkers
Ссылка на сообщение
Поделиться на других сайтах
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано:

Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов....

 

Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов.

 

Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло...

Проблема в тому, що через мікротік проводиться відеоконференції... якщо буде DDOS, то роутер зависає , цпу 99% відразу.

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Ссылка на сообщение
Поделиться на других сайтах
H_U_L_K

H_U_L_K 285

Опубликовано:
Опубликовано:

Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается.

Или я чего-то не понимаю...

Ссылка на сообщение
Поделиться на других сайтах
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано:

Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается.

Или я чего-то не понимаю...

Так, в мене лише цих 2 правила, так і живемо, все по трошки вдосконалюється та вивчається

Ссылка на сообщение
Поделиться на других сайтах
Dimkers

Dimkers 1 606

Опубликовано:
Опубликовано: (изменено)

Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме :D

 

 

 

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов?

Изменено пользователем Dimkers
Ссылка на сообщение
Поделиться на других сайтах
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано:

Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме :D

 

 

 

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов?

Дякую. Ну в мене все відключено... взагалі до мене ніхто не стукається. Проблема в тому, що я сам тестую роутер на вразливості. Скачую будь-яку прогу, що вміє ддосити, ввожу ір адрес, вибираю протокол tcp або udp, в результаті мікротік лежить. 

А я пробую знайти спосіб як захиститися від можливої атаки. 

P.S. Ставка в мене не висока)

post-39626-0-29086600-1500397230_thumb.jpg

Ссылка на сообщение
Поделиться на других сайтах
BlackVS

BlackVS 35

Опубликовано:
Опубликовано: (изменено)

Ну полностью не защититесь. Ибо если начнут долбать - то по-любому будет нагрузка. И если роутер слабый и канал небыстрый - будет дропать - лагать. У нас было ддосом провайдера положили на пару дней - направленная атака на одну из фирм-клиентов.

Но, как Вам сказали уже - нужно блокировать всё и разрешать только нужное.

Кроме того если роутер слабенький - не используйте address list - у микротика работа со списками медленная.

Включите fast-track. Используйте бекапный канал.

Изменено пользователем BlackVS
Ссылка на сообщение
Поделиться на других сайтах
holubets

holubets 43

Опубликовано:
Опубликовано: (изменено)

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Изменено пользователем holubets
Ссылка на сообщение
Поделиться на других сайтах
blogpatik

blogpatik 0

Опубликовано:
  • Автор
Опубликовано:

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити?

Ссылка на сообщение
Поделиться на других сайтах
H_U_L_K

H_U_L_K 285

Опубликовано:
Опубликовано:

 

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити?

 

DDOSить могут любой адрес. Было бы желание.

Положить микротик в полку можно на уровне фаервола на легко, всё зависит от полноты налитого стакана количества запросов к микроту.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 4
Перейти к списку тем

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...