blogpatik 0 Posted 2016-11-04 18:14:33 Share Posted 2016-11-04 18:14:33 После изучения Mikrotik RB941 очень часто начали возникать вопросы, на какие не так просто с маленьким опытом найти ответы. Вот я и решил создать тему, в которой постоянно можно будет задать вопрос по настройке микротика, не создавая лишних тем! И так, поехали... Проблема №1 Wi-Fi у меня без пароля, в какой то момент я заметил непонятные действий в логах: это соседский смартфон почему то к моему роутеру не равнодушен... Почему такое происходит и как правильно действовать, ведь раньше он частенько пользовался моим халявным нетом, а теперь вот такое в логах, и так каждую минуту. Link to post Share on other sites
ruslan.r 22 Posted 2016-11-04 19:33:08 Share Posted 2016-11-04 19:33:08 В инете куча мануалов: http://google.gik-team.com/?q=%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0+%D0%BC%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA Link to post Share on other sites
blogpatik 0 Posted 2016-11-05 05:20:53 Author Share Posted 2016-11-05 05:20:53 В инете куча мануалов: http://google.gik-team.com/?q=%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0+%D0%BC%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA Я очень рад что вы такой умный, но гуглом и я пользоваться умею, но на мой вопрос выше, я ответ знайти не смог, потому и создал тему на такую тематику! Link to post Share on other sites
BlackVS 35 Posted 2016-11-05 05:30:32 Share Posted 2016-11-05 05:30:32 Добавьте в access list и заблочьте. И пароль на вайфай повесьте. WPA2. Link to post Share on other sites
blogpatik 0 Posted 2017-02-21 15:23:34 Author Share Posted 2017-02-21 15:23:34 Подскажите, каким образом можно через Firewall запретить доступ к сайтам, который заканчиваются на .ru Чтобы запретить ходить по сайтам агресора. Сейчас актуально для государственных установ Link to post Share on other sites
Dimkers 1,620 Posted 2017-02-21 15:35:59 Share Posted 2017-02-21 15:35:59 пару ссылок: https://serveradmin.ru/blokirovka-sayta-v-mikrotik/ https://habrahabr.ru/sandbox/67786/ Link to post Share on other sites
blogpatik 0 Posted 2017-06-16 17:12:05 Author Share Posted 2017-06-16 17:12:05 (edited) Можливо хтось знає, виникла проблема, не можу обновити мікротік у звязку з тим, що залишилося мало місця на диску, а що видалити, не знаю, ніякої підказки в гуглі не знайшов... Edited 2017-06-16 17:24:04 by blogpatik Link to post Share on other sites
mixtery 123 Posted 2017-06-16 19:23:22 Share Posted 2017-06-16 19:23:22 autosupout прибейте, если, конечно, не собрались латышам тикеты писать Link to post Share on other sites
zulu_Radist 856 Posted 2017-06-16 19:38:27 Share Posted 2017-06-16 19:38:27 в такой ситуации помогает перепрошивка через netinstall Link to post Share on other sites
blogpatik 0 Posted 2017-06-17 08:29:04 Author Share Posted 2017-06-17 08:29:04 autosupout прибейте, если, конечно, не собрались латышам тикеты писать А каким образом "убить" этот файл или где его искать не подскажите? Link to post Share on other sites
mixtery 123 Posted 2017-06-17 08:49:13 Share Posted 2017-06-17 08:49:13 autosupout прибейте, если, конечно, не собрались латышам тикеты писать А каким образом "убить" этот файл или где его искать не подскажите? у вас на скриншоте с вкладки Files выделили файлик, нажали на "красный минус" Link to post Share on other sites
blogpatik 0 Posted 2017-06-17 17:53:28 Author Share Posted 2017-06-17 17:53:28 Проблема вирішилася скиданням налаштуваннь кнопкою. Відразу збільшилося місце та система оновилася Link to post Share on other sites
blogpatik 0 Posted 2017-07-18 09:02:49 Author Share Posted 2017-07-18 09:02:49 Виникло наступне запитання: Яким чином захистити мікротік із білою ір - адресою від елементарних DDOS атак, наприкладі ось таких програмок https://zhacker.net/ddos, яких є маса в просторах інтернету. Наразі відкритий udp порт для роботи ip телефонії та vpn між офісами. Наразі прописане ось таке правило, яке не зовсім допомагає Link to post Share on other sites
Dimkers 1,620 Posted 2017-07-18 09:34:29 Share Posted 2017-07-18 09:34:29 (edited) Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов.... Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов. Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло... Edited 2017-07-18 09:36:06 by Dimkers Link to post Share on other sites
blogpatik 0 Posted 2017-07-18 09:46:50 Author Share Posted 2017-07-18 09:46:50 Так это правило от днсфлуда.... Помимо этой атаки есть еще куча с использованием syn пакетов.... Телефония на астере? Она имеет белый ИП? Если нет, то че паритесь? Прикрутите к серверу фаил2бан в конце концов. Что значит не помогает? Вижу статистику по правилу, уже как почти 14 тыщ пакетов рубануло... Проблема в тому, що через мікротік проводиться відеоконференції... якщо буде DDOS, то роутер зависає , цпу 99% відразу. Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги. Link to post Share on other sites
H_U_L_K 285 Posted 2017-07-18 10:40:48 Share Posted 2017-07-18 10:40:48 Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается. Или я чего-то не понимаю... Link to post Share on other sites
blogpatik 0 Posted 2017-07-18 13:03:27 Author Share Posted 2017-07-18 13:03:27 Как Вы живете с двум правилами в фаерволе? У Вас я так понимаю все порты открыты на нём, кроме 53-го, который дропается. Или я чего-то не понимаю... Так, в мене лише цих 2 правила, так і живемо, все по трошки вдосконалюється та вивчається Link to post Share on other sites
Dimkers 1,620 Posted 2017-07-18 16:08:01 Share Posted 2017-07-18 16:08:01 (edited) Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги. Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов? Edited 2017-07-18 16:11:21 by Dimkers Link to post Share on other sites
North76Storm 2 Posted 2017-07-18 16:55:06 Share Posted 2017-07-18 16:55:06 Вот тут много полезных советов http://mikrotik-ukraine.blogspot.com/2016/08/wan-mikrotik.html?m=1 Link to post Share on other sites
blogpatik 0 Posted 2017-07-18 17:00:45 Author Share Posted 2017-07-18 17:00:45 Ну ща начнется холивар о том как жить лучше - что то разрешено+алл дени VS. алл разрешено, кроме Від днс флуда допомагає, а я пробую знайти правило від цих самих атак через проги. Так изучите куда долбят. На какие порты. Закройте неиспользуемые сервисы, которые включены на микроте(типа там телнета, апи, ссш, фтп и прочие неиспользуемые). Смените стандартные порты на используемых сервисах.... Ну в принципе стандартные такие себе процедуры для админа. Или вы и тех, кто сидит на ставке в 150-200 баксов? Дякую. Ну в мене все відключено... взагалі до мене ніхто не стукається. Проблема в тому, що я сам тестую роутер на вразливості. Скачую будь-яку прогу, що вміє ддосити, ввожу ір адрес, вибираю протокол tcp або udp, в результаті мікротік лежить. А я пробую знайти спосіб як захиститися від можливої атаки. P.S. Ставка в мене не висока) Link to post Share on other sites
BlackVS 35 Posted 2017-07-18 18:00:35 Share Posted 2017-07-18 18:00:35 (edited) Ну полностью не защититесь. Ибо если начнут долбать - то по-любому будет нагрузка. И если роутер слабый и канал небыстрый - будет дропать - лагать. У нас было ддосом провайдера положили на пару дней - направленная атака на одну из фирм-клиентов. Но, как Вам сказали уже - нужно блокировать всё и разрешать только нужное. Кроме того если роутер слабенький - не используйте address list - у микротика работа со списками медленная. Включите fast-track. Используйте бекапный канал. Edited 2017-07-18 18:02:11 by BlackVS Link to post Share on other sites
H_U_L_K 285 Posted 2017-07-18 20:47:34 Share Posted 2017-07-18 20:47:34 ТС, закройте доступ к микротику из вне. А то будут на порт винбокса пионерщики ломиться... Link to post Share on other sites
holubets 43 Posted 2017-07-19 12:50:09 Share Posted 2017-07-19 12:50:09 (edited) Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР. Коли є потреба підключаєте ВПН і заходите на мікротік. Edited 2017-07-19 12:53:27 by holubets Link to post Share on other sites
blogpatik 0 Posted 2017-07-19 19:11:10 Author Share Posted 2017-07-19 19:11:10 Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР. Коли є потреба підключаєте ВПН і заходите на мікротік. Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити? Link to post Share on other sites
H_U_L_K 285 Posted 2017-07-19 20:04:32 Share Posted 2017-07-19 20:04:32 Якщо є реальнна зовнішня ІР, тоді можна настроїти ВПН і відкрити доступ до мікротіка тільки для внутрішніх ІР. Коли є потреба підключаєте ВПН і заходите на мікротік. Тобто якщо в мене буде все відключено як на скріншоті вище, а через winbox я буду заходити тільки із внутрішньої локальної мережі або того ж самого vpn, доступ із зовні я також закрию, то мою ip адресу ніхто не зможе ddos-ити? DDOSить могут любой адрес. Было бы желание. Положить микротик в полку можно на уровне фаервола на легко, всё зависит от полноты налитого стакана количества запросов к микроту. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now