Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
Предыдущие части темы: часть 1, часть 2, часть 3, часть 4
Официальный сайт: https://mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.14.2 Подробнее... Testing: 7.15b8
Stable: 6.49.13 Long-term: 6.49.10

актуальная версия SwitchOS: 2.17
актуальная версия WinBox: 3.40 32/64-bit Подробнее...

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 12:30 28-03-2024
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Форумчане, помогите советом
    наш внешний белый ip попал в спамерские базы (например), за роутером - зоопарк, под сотню рабочих компов с разными системами без домена
     
    По рекомендациям, я заблокировал все подключения по 25 порту, и включил логи, в логах я ожидал увидеть спамерские пакеты из внутренней сети с цепочки forward - но там нет подключений, а вот с самого роутера на самого себя + с роутера на внешку - есть
     
    картинка лога
    картинка правил
     
    Недавнюю уязвимость закрывал, скриптов/админов лишних нет, прошивка 6.43.12
     
    Что за пакеты шлет роутер, куда, и нормально ли это?

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 14:11 08-03-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmi3n2
    Так у вас кто-то левый побывал на маршрутизаторе или нет?
    Может у вас у какого-то из ip services поменяли порт на 25, может в ip socks, может в metarouter подняли свой сервер но это вряд ли.
    Неплохо было бы снять дамп через tools packet sniffer и посмотреть, что за пакеты.
    Неплохо было бы, если действительно кто-то заходил, переустановить ОС через netinstall, чтобы точно всё затереть.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 16:53 09-03-2019 | Исправлено: vklp, 16:56 09-03-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmi3n2
    в /tool e-mail настраивали отправку с микротика, может не правильно настроено.
    в dns в статике может что прописано, конфига нет, телепаты в отпуске.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 17:24 09-03-2019 | Исправлено: alexnov66, 17:27 09-03-2019
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Братцы. Меня походу ньюбик от микротика покусал. Не могу дать доступ извне по РРТР.
     
    Сбросил все настройки в "ноль". Включаю РРТР-сервер:
    /interface pptp-server server print
     
    Создаю пользователя для подключения:
    /ppp secret print
     
    В файерволе сделал разрешающее водящее правило (нулевое):
    /ip firewall filter print
     
    Версия 6.43.4.
     
    Подключаюсь из "внутренней" сети - всё проходит на "ура". Попытка подключиться из инета безуспешна. Обращение с помощью telnet`а на 1723 порт ответа не даёт.
     
    Где я накосячил?

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 18:51 09-03-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
    GRE соединение кто разрешать будет?

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 18:58 09-03-2019
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vklp

    Цитата:
    GRE соединение кто разрешать будет?
     

    Хорошая мысль, только рано. Мы ещё до порта 1723 достучатся не можем. А для этого GRE не нужен.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 19:34 09-03-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
    я бы разрешающее правило по другому сделал

    Код:
    /ip firewall filter
    add action=accept chain=input dst-address=111.112.113.114 dst-port=1723 protocol=tcp
     

     
    и можно проверить другой порт, вообще подключение есть к тику или нет.
    делать профиль отдельный для сервера и отдельный для клиентов.
    в профиле upnp отключить.
    лучше бы и fasttrack отключить.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 20:08 09-03-2019 | Исправлено: alexnov66, 20:18 09-03-2019
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    и можно проверить другой порт, вообще подключение есть к тику или нет.

    ssh у меня на альтернативный порт выведено. Дописал порт в своё правило, доступ получил.
    Сейчас подключу к wan-порту ноут и попробую с него зателнетится. А то есть подспудная мысль, что провайдер или кто-то ещё рубит трафик по этим портам.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 20:18 09-03-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
    Думаю в теперешнее время этим уже не занимаются.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 20:20 09-03-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Мы ещё до порта 1723 достучатся не можем

    Не мы, а вы - может ещё и стучитесь не так.
    Двух правил достаточно, уже по ним можно посмотреть капают ли байты или включить логирование.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 20:21 09-03-2019
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vklp
    alexnov66
    Спасибо за направления для мысли, сделал экспорт настроек и вникал в каждую строчку, наверняка, кто часто общается с тиками - это не особая проблема. В итоге увидел включенный сокет в ip-socks, видел его и раньше, но не обратил тогда внимание.
    Выключили сокс и странное поведение закончилось.
     
    В качестве разборки последствий взлома, несколько месяцев назад, мы действительно переустанавливали прошивку через netinstall, но накатывали старый конфиг, и очевидно socks я просмотрел, зато теперь в ботнете на 1 участника меньше.
     
    Подскажите, если для сетевой безопасности добавить в ip-firewall такой ряд правил:
    chain=forward action=accept connection-state=established
    chain=input action=accept connection-state=related
    chain=forward action=drop
    Какие проблемы могут возникнуть у пользователей локальной сети за Микротиком?

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 10:48 10-03-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    dmi3n2

    Цитата:
    если для сетевой безопасности добавить в ip-firewall такой ряд правил:  
    <...>
    Какие проблемы могут возникнуть у пользователей локальной сети за Микротиком?

    Может возникнуть невозможность доступа в Интернет, если у вас не окажется правила, разрешающего этот доступ из локалки, например.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:21 10-03-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    chain=forward action=drop  


    Цитата:
    Какие проблемы могут возникнуть у пользователей локальной сети за Микротиком?

    Отсутствие интернета за проблему считается?
     

    Цитата:
    chain=forward action=accept connection-state=established
    chain=input action=accept connection-state=related  

    Вообще непонятно, каким боком эти разрешающие правила повлияют на безопасность, не видя других правил. Если не хотите разбираться как работает фаервол, лучше всего оставить правила по умолчанию, их вполне достаточно. Как они выглядят видно в комменте у urodliv.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 16:19 10-03-2019
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vklp

    Цитата:
    Не мы, а вы - может ещё и стучитесь не так.
    Двух правил достаточно, уже по ним можно посмотреть капают ли байты или включить логирование.

    Так, за подсказку большое спасибо.
    Пытался подключиться с тестовой машины, на которой установлена винда 2008. А это, как выяснилось, не совсем тривиальная задача. И вот хоть бы что-то в мозгу щёлкнуло на этот счёт... Ничего.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 16:35 11-03-2019
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    vklp
    Я вас вроде понял, если нет поправьте:
    для минимальной работы и максимально-закрытого доступа, необходимо для локальной сети оставить 53,80,443 порты форварда, что то вроде этого:
     
    chain=forward action=accept protocol=tcp dst-port=53,80,443 out-interface-list=WAN
    chain=forward action=accept protocol=udp dst-port=53 out-interface-list=WAN
     
    плюс вышеуказанные правила:

    Цитата:
    chain=forward action=accept connection-state=established
    chain=input action=accept connection-state=related
    chain=forward action=drop  
    логика правильная?
     

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 22:44 11-03-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmi3n2

    Цитата:
    Я вас вроде понял, если нет поправьте

    Это вам не у нас спрашивать, а у ваших пользователей. Аськи, игры и много чего с этим работать не будут.
     

    Цитата:
    chain=input action=accept connection-state=related  

    Можете объяснить, для чего вам это правило?

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 23:07 11-03-2019
    Godzie

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmi3n2
    Чтобы вам помогли нужно дать весь вывод ветки /ip firewall filter print а не отдельные строки.
    Для "максимального закрытого доступа" не имеет смысла лезть в цепочку forward. Стандартные правил(если вы их не удалили) вполне достаточно.

    Всего записей: 250 | Зарегистр. 11-09-2015 | Отправлено: 08:33 12-03-2019
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vklp

    Цитата:
    Цитата:
    chain=input action=accept connection-state=related  
     
    Можете объяснить, для чего вам это правило?

    Разрешить на вход все, что было создано в out
     
    а хотя гипотетическая программа с портом 777 такое соединение создать не сможет, ведь я сам только 3 порта для работы дал, вы об этом?
     
    Godzie
    Я гипотетически спрашиваю, и вопрос врятли требует 4 десятка правил с рабочего роутера. Спасибо за мнение о стандартных правилах.

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 18:04 12-03-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Разрешить на вход все, что было создано в out  

    Неправильно.
    Ваши правила с портами для forward цепочки не имеют никакого отношения к input/output.
    Повторюсь: стандартные правила вполне себе хорошие.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 19:59 12-03-2019 | Исправлено: vklp, 20:02 12-03-2019
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru