Mikrotik_Делимся опытом, помогаем друг другу

[blogpatik 0]

После изучения Mikrotik RB941 очень часто начали возникать вопросы, на какие не так просто   с маленьким опытом найти ответы.

Вот я и решил создать тему, в которой постоянно можно будет задать вопрос по настройке микротика, не создавая лишних тем! 

И так, поехали...

 

Проблема №1

Wi-Fi у меня без пароля, в какой то момент я заметил непонятные действий в логах:

 

это соседский смартфон почему то к моему роутеру не равнодушен... 

 

Почему такое происходит и как правильно действовать, ведь раньше он частенько пользовался моим халявным нетом, а теперь вот такое в логах, и так каждую минуту.

 

 

[ruslan.r 22]

В инете куча мануалов:

http://google.gik-team.com/?q=%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0+%D0%BC%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA

[blogpatik 0]

В инете куча мануалов:

http://google.gik-team.com/?q=%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0+%D0%BC%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA

Я очень рад что вы такой умный, но гуглом и я пользоваться умею, но на мой вопрос выше, я ответ знайти не смог, потому и создал тему на такую тематику! 

[BlackVS 35]

Добавьте в access list и заблочьте. И пароль на вайфай повесьте. WPA2.

[blogpatik 0]

Подскажите, каким образом можно через Firewall запретить доступ к сайтам, который заканчиваются на .ru

Чтобы запретить ходить по сайтам агресора. 

Сейчас актуально для государственных установ

[Dimkers 1 599]

пару ссылок:

https://serveradmin.ru/blokirovka-sayta-v-mikrotik/

https://habrahabr.ru/sandbox/67786/

[blogpatik 0]

Можливо хтось знає, виникла проблема, не можу обновити мікротік у звязку з тим, що залишилося мало місця на диску, а що видалити, не знаю, ніякої підказки в гуглі не знайшов...

Відредаговано 2017-06-16 17:24:04 blogpatik

[mixtery 121]

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

[zulu_Radist 856]

в такой ситуации помогает перепрошивка через netinstall

[blogpatik 0]

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

А каким образом "убить" этот файл или где его искать не подскажите?

[mixtery 121]

 

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

А каким образом "убить" этот файл или где его искать не подскажите?

 

у вас на скриншоте с вкладки Files

выделили файлик, нажали на "красный минус"

[blogpatik 0]

Проблема вирішилася скиданням налаштуваннь кнопкою. Відразу збільшилося місце та система оновилася

[blogpatik 0]

Виникло наступне запитання:

Яким чином захистити мікротік із білою ір - адресою від елементарних DDOS атак, наприкладі ось таких програмок https://zhacker.net/ddos, яких є маса в просторах інтернету.

Наразі відкритий udp порт для роботи ip телефонії та vpn між офісами.

 

Наразі прописане ось таке правило, яке не зовсім допомагає

[Dimkers 1 599]

Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов....

 

Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов.

 

Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло...

Відредаговано 2017-07-18 09:36:06 Dimkers

[blogpatik 0]

Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов....

 

Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов.

 

Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло...

Проблема в тому, що через мікротік проводиться відеоконференції... якщо буде DDOS, то роутер зависає , цпу 99% відразу.

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

[H_U_L_K 281]

Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается.

Или я чего-то не понимаю...

[blogpatik 0]

Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается.

Или я чего-то не понимаю...

Так, в мене лише цих 2 правила, так і живемо, все по трошки вдосконалюється та вивчається

[Dimkers 1 599]

Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме

 

 

 

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов?

Відредаговано 2017-07-18 16:11:21 Dimkers

[North76Storm 2]

Вот тут много полезных советов

http://mikrotik-ukraine.blogspot.com/2016/08/wan-mikrotik.html?m=1

[blogpatik 0]

Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме

 

 

 

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов?

Дякую. Ну в мене все відключено... взагалі до мене ніхто не стукається. Проблема в тому, що я сам тестую роутер на вразливості. Скачую будь-яку прогу, що вміє ддосити, ввожу ір адрес, вибираю протокол tcp або udp, в результаті мікротік лежить. 

А я пробую знайти спосіб як захиститися від можливої атаки. 

P.S. Ставка в мене не висока)

[BlackVS 35]

Ну полностью не защититесь. Ибо если начнут долбать - то по-любому будет нагрузка. И если роутер слабый и канал небыстрый - будет дропать - лагать. У нас было ддосом провайдера положили на пару дней - направленная атака на одну из фирм-клиентов.

Но, как Вам сказали уже - нужно блокировать всё и разрешать только нужное.

Кроме того если роутер слабенький - не используйте address list - у микротика работа со списками медленная.

Включите fast-track. Используйте бекапный канал.

Відредаговано 2017-07-18 18:02:11 BlackVS

[H_U_L_K 281]

ТС, закройте доступ к микротику из вне. А то будут на порт винбокса пионерщики ломиться...

[holubets 43]

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Відредаговано 2017-07-19 12:53:27 holubets

[blogpatik 0]

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити?

[H_U_L_K 281]

 

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити?

 

DDOSить могут любой адрес. Было бы желание.

Положить микротик в полку можно на уровне фаервола на легко, всё зависит от полноты налитого стакана количества запросов к микроту.