Перейти до

Mikrotik_Делимся опытом, помогаем друг другу


Рекомендованные сообщения

После изучения Mikrotik RB941 очень часто начали возникать вопросы, на какие не так просто :)  с маленьким опытом найти ответы.

Вот я и решил создать тему, в которой постоянно можно будет задать вопрос по настройке микротика, не создавая лишних тем! 

И так, поехали...

 

Проблема №1

Wi-Fi у меня без пароля, в какой то момент я заметил непонятные действий в логах:

 

это соседский смартфон почему то к моему роутеру не равнодушен... 

 

Почему такое происходит и как правильно действовать, ведь раньше он частенько пользовался моим халявным нетом, а теперь вот такое в логах, и так каждую минуту.

 

 

post-39626-0-41607600-1478282991_thumb.png

post-39626-0-81561900-1478283199_thumb.png

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 216
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Потому-что через simple queues будет распределение по ядрам CPU.

У кого какую нагрузку держит CCR1036 ? У нас реально держит 500+ абонентов с нагрузкой в районе 1г. ,авторизация IPoE (hotspot), NAT, реальники через PPPoE, около 50 правил фаервола, у абонентов

Тем не менее с поставленной задачей справится без проблем.  Дальше там цены вообще в космос уходят для таких сетей...    ага, а 1072 уже убила циску ?

Posted Images

Ссылка на сообщение
Поделиться на других сайтах
  В 04.11.2016 в 19:33, ruslan.r сказав:

Я очень рад что вы такой умный, но гуглом и я пользоваться умею, но на мой вопрос выше, я ответ знайти не смог, потому и создал тему на такую тематику! 

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...

Подскажите, каким образом можно через Firewall запретить доступ к сайтам, который заканчиваются на .ru

Чтобы запретить ходить по сайтам агресора. 

Сейчас актуально для государственных установ

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...
Опубліковано: (відредаговано)

Можливо хтось знає, виникла проблема, не можу обновити мікротік у звязку з тим, що залишилося мало місця на диску, а що видалити, не знаю, ніякої підказки в гуглі не знайшов...

post-39626-0-24496500-1497633830_thumb.jpg

post-39626-0-77367400-1497633836_thumb.jpg

Відредаговано blogpatik
Ссылка на сообщение
Поделиться на других сайтах
  В 16.06.2017 в 19:23, mixtery сказав:

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

А каким образом "убить" этот файл или где его искать не подскажите?

Ссылка на сообщение
Поделиться на других сайтах
  В 17.06.2017 в 08:29, blogpatik сказав:

 

  В 16.06.2017 в 19:23, mixtery сказав:

autosupout прибейте, если, конечно, не собрались латышам тикеты писать

А каким образом "убить" этот файл или где его искать не подскажите?

 

у вас на скриншоте с вкладки Files

выделили файлик, нажали на "красный минус"

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Виникло наступне запитання:

Яким чином захистити мікротік із білою ір - адресою від елементарних DDOS атак, наприкладі ось таких програмок https://zhacker.net/ddos, яких є маса в просторах інтернету.

Наразі відкритий udp порт для роботи ip телефонії та vpn між офісами.

 

Наразі прописане ось таке правило, яке не зовсім допомагає

post-39626-0-91602900-1500368544_thumb.jpg

post-39626-0-16066300-1500368551_thumb.jpg

Ссылка на сообщение
Поделиться на других сайтах

Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов....

 

Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов.

 

Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло...

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
  В 18.07.2017 в 09:34, Dimkers сказав:

Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов....

 

Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов.

 

Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло...

Проблема в тому, що через мікротік проводиться відеоконференції... якщо буде DDOS, то роутер зависає , цпу 99% відразу.

Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Ссылка на сообщение
Поделиться на других сайтах

Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается.

Или я чего-то не понимаю...

Ссылка на сообщение
Поделиться на других сайтах
  В 18.07.2017 в 10:40, H_U_L_K сказав:

Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается.

Или я чего-то не понимаю...

Так, в мене лише цих 2 правила, так і живемо, все по трошки вдосконалюється та вивчається

Ссылка на сообщение
Поделиться на других сайтах

Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме :D

 

 

 

  В 18.07.2017 в 09:46, blogpatik сказав:
Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов?

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
  В 18.07.2017 в 16:08, Dimkers сказав:

Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме :D

 

 

 

  В 18.07.2017 в 09:46, blogpatik сказав:
Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги.

Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов?

Дякую. Ну в мене все відключено... взагалі до мене ніхто не стукається. Проблема в тому, що я сам тестую роутер на вразливості. Скачую будь-яку прогу, що вміє ддосити, ввожу ір адрес, вибираю протокол tcp або udp, в результаті мікротік лежить. 

А я пробую знайти спосіб як захиститися від можливої атаки. 

P.S. Ставка в мене не висока)

post-39626-0-29086600-1500397230_thumb.jpg

Ссылка на сообщение
Поделиться на других сайтах

Ну полностью не защититесь. Ибо если начнут долбать - то по-любому будет нагрузка. И если роутер слабый и канал небыстрый - будет дропать - лагать. У нас было ддосом провайдера положили на пару дней - направленная атака на одну из фирм-клиентов.

Но, как Вам сказали уже - нужно блокировать всё и разрешать только нужное.

Кроме того если роутер слабенький - не используйте address list - у микротика работа со списками медленная.

Включите fast-track. Используйте бекапный канал.

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Відредаговано holubets
Ссылка на сообщение
Поделиться на других сайтах
  В 19.07.2017 в 12:50, holubets сказав:

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити?

Ссылка на сообщение
Поделиться на других сайтах
  В 19.07.2017 в 19:11, blogpatik сказав:

 

  В 19.07.2017 в 12:50, holubets сказав:

Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР.

Коли є потреба підключаєте ВПН і заходите на мікротік.

Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити?

 

DDOSить могут любой адрес. Было бы желание.

Положить микротик в полку можно на уровне фаервола на легко, всё зависит от полноты налитого стакана количества запросов к микроту.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...